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随 着 互联 网 在 我 国 的 快速 发 展 和 普及 ， 计 算 机 网 络 深刻 地 影响 着 我 们 的 生产 、 工 人 
学 习 和 生活 方式 ， 网 络 安全 与 网 络 管理 问题 也 已 成 为 互联 网 时 代 无 法 回避 的 问题 。 因 此 ， 
社会 对 于 网 络 安全 与 管理 人 才 的 需求 日 益 增多 ， 但 目前 许多 高 校 开设 的 网 络 安全 与 管理 类 
的 课程 理论 性 太 强 ， 对 技能 型 要 求 较 高 的 高 职 学 生 而 言 不 太 适 用 。 本 书 以 网 络 工程 中 常见 
的 具体 工程 实例 为 主线 ， 结 合 实例 具体 分 析 和 解决 任务 所 需 的 具体 技术 ， 以 任务 目的 和 需 
求 为 导向 ， 先 进行 需求 分 析 ， 并 链接 该 技术 所 需 的 理论 知识 。 理 论 知识 以 够 用 为 主 ， 充 分 
结合 任务 需求 ， 实 现 课 堂 教学 与 实际 应 用 的 无 颖 对 接 。 然 后 将 具体 任务 的 实施 步骤 以 图 文 
并 成 的 形式 一 一 呈现 ， 步 又 清晰 ， 通 俗 易 懂 ， 非 常 适合 高 职 学 生 学 习 ， 有 非常 强 的 可 操作 
性 和 实践 指导 性 。 

本 书 以 网 络 工程 为 主线 , 分 析 网 络 工程 中 常见 的 19 个 典型 应 用 案例 ,同时 也 兼顾 了 知 
识 体系 的 完整 性 与 系统 性 。 本 书 在 分 析 案 例 的 同时 有 针对 性 地 链接 每 个 技术 所 需 的 理论 知 
识 ， 根 据 需 求 制定 任务 ， 按 照 任 务 设 计 工 程 解决 方案 ， 最 后 在 实验 环境 下 逐步 实施 方案 ， 
对 高 职 学 生 掌握 所 需 的 理论 知识 和 实际 操作 技能 具有 非常 强 的 指导 意义 。 
本 书 共 分 9 章 。 第 1 章 介 绍 网 络 安全 的 理论 基础 。 第 2 章 介绍 网 络 访问 控制 技术 ， 针 
对 企业 网 络 中 的 具体 需求 分 析 ， 解 决 企业 网 基本 访问 控制 和 高 级 访问 控制 问题 。 第 3 章 介 
绍 局 域 网 安全 技术 ， 根 据 具体 案例 引入 公司 局 域 网 接 入 认证 服务 和 公司 局 域 网 端口 隔离 、 
端口 绑 定 , 以 及 企业 网 IP 地 址 安全 管理 的 解决 方案 。 第 4 章 介 绍 网 络 病 毒 、 攻 击 预防 技术 ， 
针对 企业 需求 ， 制 定 了 公司 网 络 防毒 系统 的 实施 方案 和 公司 网 ARP 攻击 预防 任务 。 第 5 章 
介绍 Internet 接 入 安全 技术 ， 以 任务 的 方式 引入 ， 模 拟 企业 的 互联 网 接 入 NAT 和 企业 网 内 
部 服务 的 对 外 发 布 ， 以 及 移动 用 户 访问 企业 网 资源 。 第 6 章 介 绍 网 络 管理 理论 基础 ， 引 入 
了 计算 机 网 络 管理 的 基本 概念 和 网 络 管理 的 协议 ， 以 及 4 类 网 络 故 障 的 排除 步 又。 第 7 章 
站 绍 企业 网 设备 SNMP 配置 ， 针 对 企业 的 实际 需求 进行 企业 网 设备 SNMP 配置 。 第 8 章 介 
绍 企业 网 监测 技术 ， 以 具体 任务 的 方式 引入 ， 详 细 介绍 了 企业 网 设备 运行 状态 监测 和 企业 
网 线路 流量 监测 。 第 9 章 介绍 企业 网 远程 管理 ， 内 容 包 括 企业 内 部 网 的 网 络 设备 进行 远程 
管理 采用 的 Telnet 和 SSH 技术 ， 以 及 企业 网 服务 器 远程 管理 实现 方案 和 公司 网 AAA 体系 
部 署 。 

本 书 由 四 川 托 普 信 息 技术 职业 学 院 张 虹 霞 、 王 亮 任 主编 。 其 中 , 张 虹 霞 负 责编 写 第 1 一 
5 章 ， 王 亮 负 责编 写 第 6 一 9 章 。 

由 于 计算 机 网 络 安全 与 管理 技术 发 展 更 新 较 快 ， 编 者 水 平 有 限 ， 书 中 难免 有 疏漏 与 不 
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网 络 安 全 理论 基础 


通过 本 章 学 习 , 学 生 能 够 了 解 计算 机 网 络 安全 的 基本 概念 、 现代 信息 认证 技术 、Internet 
网 络 安全 技术 、 操 作 系 统 安全 技术 等 网 络 安全 基础 理论 知识 ， 为 后 续 章节 的 学 习 打 下 坚实 
基础 。 






(1) 掌 握 网 络 安全 基本 概念 
(2) 掌 握 网 络 存在 的 安全 威胁 

G3) 掌 握 常见 网 络 安全 技术 

(D 掌 握 现代 信息 认证 技术 基本 概念 
(2) 了 解 加 密 技术 基本 概念 

(3) 了 解数 字 签名 技术 基本 概念 

(D 掌 握 网 络 防 病毒 技术 基本 概念 
(2) 掌 握 防火 墙 技术 基本 概念 
(3) 掌 握 VPN 技术 基本 概念 
(4) 了 解 常用 网 络 安全 协议 

(D 了 解 操作 系统 安全 基本 概念 
(2) 了 解 操作 系统 账户 安全 

(3) 了 解 操作 系统 文件 系统 安全 
(4) 了 解 常 见 Windows 安全 设置 


计算 机 网 络 安全 基本 概念 


现代 信息 认证 技术 





Internet 网 络 安全 技术 





操作 系统 安全 技术 





重点 难点 


网 络 安全 基本 概念 。 
信息 认证 技术 、 加 密 技 术 、 数 字 签 名 技术 。 


操作 系统 安全 基本 概念 。 


加 | 


随 着 计算 机 网 络 技术 的 飞速 发 展 和 互联 网 的 广泛 普及 ， 
二 手段 也 千变万化 ， 使 大 量 企业 、 机 构 和 个 人 的 计算 机 面临 着 随时 被 攻击 和 入 侵 的 危险 。 








医 









操作 系统 账户 安全 、 文 件 系统 安全 、Windows 安全 


网 络 安全 概述 





(D 网 络 安全 定义 
(2) 常 见 网 络 安全 威胁 

(3) 主 流 网 络 安全 技术 

(]) 现 代 信息 认证 技术 
(2) 加 密 技术 

(3) 数 字 签 名 技术 

(]) 网 络 病毒 及 防 病毒 技术 
(2) 防 火 墙 技术 

(3)VPN 技术 

(4) 常 见 网 络 安全 协议 
(D) 操 作 系统 安全 基本 概念 
(2) 操 作 系统 账户 安全 
(3) 操 作 系统 文件 系统 安全 
(4)Windows 安全 设置 


















网 络 病毒 、 病 毒 防御 、 防 火 墙 、VPN、 人 常见 网 络 安全 协议 。 


设置 。 





病毒 与 黑客 攻击 日 益 增多 ， 攻 














这 导致 人 们 不 得 不 在 享受 网 络 带 来 的 便利 的 同时 ， 寻 求 更 为 可 靠 的 网 络 安全 解决 方案 。 
网 络 安全 是 指 计算 机 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 会 由 于 偶 
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然 的 或 者 恶意 的 原因 而 遭受 破坏 、 更 改 、 泄 露 ， 以 保证 系统 连续 、 可 靠 、 正 常 地 运行 ， 网 
络 服务 不 中 断 。 网 络 安 全 从 其 本 质 上 来 讲 ， 就 是 指 网 络 上 的 信息 安全 。 从 广义 来 说 ， 凡 是 
涉及 网 络 上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 ， 都 是 网 
络 安全 的 研究 领域 。 网 络 安全 是 计算 机 网 络 技术 发 展 中 一 个 至 关 重 要 的 问题 ,也 是 Internet 
的 一 个 薄弱 环节 。 





1.1.1 网 络 存在 的 安全 威胁 


由 于 当初 设计 TCP/IP 协议 族 时 对 网 络 的 安全 性 考虑 较 少 ， 随 着 Internet 的 广泛 应 用 和 
商业 化 ， 电 子 商务 、 网 上 人 金融、 电子 政务 等 容易 引发 恶意 攻击 的 业务 日 益 增 多 。 目 前 计算 
机 网 络 存在 的 安全 威胁 主要 表现 在 以 下 几 个 方面 。 

1. 非 授 权 访问 

非 授权 访问 是 指 没 有 预先 经 过 同意 ， 而 非法 使 用 网 络 或 计算 机 资源 。 例 如 ， 有 意 避 开 
系统 访问 控制 机 制 ， 对 网 络 设备 及 资源 进行 非 正 常 使 用 ， 或 擅自 扩大 权限 ， 越 权 访问 信息 
等 。 非 授权 访问 主要 有 以 下 几 种 表现 形式 : 假冒 、 身 份 攻击 、 非 法 用 户 进入 网 络 系统 进行 
违法 操作 、 合 法 用 户 以 未 授权 方式 进行 操作 等 。 

2. 信息 泄露 或 丢失 

信息 泄露 或 丢失 是 指 敏感 数据 在 有 意 或 无 意 中 被 泄露 出 去 或 丢失 。 它 通常 包括 ， 信 息 
在 传输 过 程 中 丢失 或 泄露 (如 “黑客 ”利用 网 络 监听 、 电 磁 泄 漏 或 搭 线 窃听 等 方式 可 获取 如 
用 户口 令 、 账 号 等 机 密 信息 ， 或 通过 对 信息 流向 、 流 量 、 通 信 频 度 和 长 度 等 参数 的 分 析 ， 
推测 出 有 用 信息 )， 信 息 在 存储 介质 中 丢失 或 泄露 ， 通 过 建立 隐蔽 隧道 等 窃取 敏感 信息 等 。 

3. 破坏 数据 完整 性 

破坏 数据 完整 性 是 指 以 非法 手段 窃 得 对 数据 的 使 用 权 ， 删 除 、 修 改 、 插 入 或 重 发 某 些 
要 信息 ， 以 取得 有 益 于 攻击 者 的 响应 ， 恶 意 添加 、 修 改 数据 ， 以 干扰 用 户 的 正常 使 用 。 

4. 拒绝 服务 攻击 

拒绝 服务 攻击 是 指 不 断 对 网 络 服 务 系统 进行 干扰 ， 浪 费 资源 ， 改 变 正常 的 作业 流程 ， 
执行 无 关 程序 使 系统 响应 减 慢 甚至 瘫痪 ， 影 响 正常 用 户 的 使 用 ， 使 正常 用 户 的 请 求 得 不 到 
正常 的 响应 。 

5. 利用 网 络 传播 木马 和 病毒 

利用 网 络 传播 木马 和 病毒 是 指 通过 网 络 应 用 (如 网 页 浏览 、 即 时 聊天 、 邮 件 收发 等 ) 大 
面积 、 快 速 地 传播 病毒 和 木马 ， 其 破坏 性 大 大 高 于 单机 系统 ， 而 且 用 户 很 难 防范 。 病 毒 和 
木马 已 经 成 为 网 络 安全 中 极其 严重 的 问题 之 一 。 


由 











1.1.2 网络 安 全 技术 简介 


网 络 安全 防护 技术 总 体 来 说 有 攻击 检测 、 攻 击 防范 和 攻击 后 恢复 这 三 大 方向 ， 每 一 个 
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方向 都 有 代表 性 的 系统 ， 入 侵 检测 系统 负责 进行 前 瞻 性 的 攻击 检测 ， 防 火 墙 负责 访问 控制 
和 攻击 防范 ， 攻 击 后 的 恢复 则 由 自动 恢复 系统 来 解决 。 涉 及 的 具体 技术 主要 有 以 下 几 个 。 

1. 入 侵 检测 技术 

入 侵 检测 (Intrusion Detection) 是 对 入 侵 行为 的 检测 。 它 通过 收集 和 分 析 网 络 行为 、 安 全 
日 志 、 审 计数 据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 ， 检 查 
网 络 或 系统 中 是 否 存在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检测 技术 是 最 近 几 年 出 
现 的 新 型 网 络 安全 技术 ， 目 的 是 提供 实时 的 入 侵 检测 及 采取 相应 的 防护 手段 ， 如 记录 证 据 
用 于 跟踪 和 恢复 、 断 开 网 络 连接 等 。 

2. 防火 墙 技术 


防火 墙 (FirewalD) 是 用 一 个 或 一 组 网 络 设备 (如 计算 机 系统 或 路 由 器 等 )， 在 两 个 网 络 之 
间 加 强 访问 控制 ， 对 通信 进行 过 滤 ， 以 保护 一 个 网 络 不 受 来 自 另 一 个 网 络 的 攻击 的 安全 技 
术 。 防 火 墙 主要 服务 于 以 下 几 个 目的 。 

(1) 限定 他 人 进入 内 部 网 络 ， 过 滤 掉 不 安全 的 服务 和 非法 用 户 。 

(2) 限定 人 们 访问 特殊 的 站 点 。 

(3) 为 监视 网 络 访问 行为 提供 方便 。 


3. 网 络 加 密 和 认证 技术 


互联 网 是 一 个 开放 的 环境 ， 应 用 领域 也 在 不 断 地 拓展 ， 从 邮件 传输 、 即 时 通信 到 网 上 
交易 ， 这 些 活动 的 通信 内 容 中 可 能 包含 了 一 些 敏感 性 的 信息 ， 如 商业 秘密 、 订 单 信息 、 银 
行 卡 的 账户 和 口令 等 。 如 果 将 这 些 信 息 以 明文 形式 在 网 络 上 传输 ， 可 能 会 被 黑客 监听 造成 
机 密 信息 的 泄露 ， 所 以 现代 网 络 安全 中 广泛 应 用 各 种 加 密 算法 和 技术 ， 将 信息 明文 转换 成 
为 局 外 人 难以 识别 的 密 文 之 后 再 放 到 网 上 传输 ， 有 效 地 保护 了 机 密 信息 的 安全 。 此 外 ， 很 
多 网 络 应 用 中 需要 确定 交易 或 通信 对 方 的 身份 ， 以 防止 网 络 欺诈 ， 由 此 出 现 了 诸如 数字 证 
书 、 数 字 签 名 等 信息 认证 技术 ， 这 将 在 后 面 详细 阐述 。 


4. 网 络 防 病毒 技术 


在 网 络 环境 下 ， 计 算 机 病毒 的 传播 速度 是 单机 环境 的 几 十 倍 ， 网 页 浏览 、 邮 件 收发 、 
软件 下 载 等 网 络 应 用 均 可 能 感染 病毒 ， 而 网 络 蠕虫 病毒 更 是 能 够 在 短 短 的 几 小 时 内 蔓延 全 
球 。 因 此 ， 网 络 病毒 防范 也 是 网 络 安全 技术 中 重要 的 一 环 。 随 着 网 络 防 病毒 技术 的 不 断 发 
展 ， 目 前 已 经 进入 “ 云 安全 ”时 代 ， 即 识别 和 查 杀 病毒 不 再 仅仅 依靠 本 地 硬盘 中 的 病毒 库 ， 
而 是 依靠 庞大 的 网 络 服务 ， 实 时 进行 采集 、 分 析 及 处 理 ， 整 个 互联 网 就 是 一 个 巨大 的 “ 杀 
毒 软 件 ”， 参 与 者 越 多 ， 每 个 参与 者 就 越 安 全 ， 整 个 互联 网 就 会 更 安全 。 


5. 网 络 备份 技术 


备份 系统 存在 的 目的 是 尽 可 能 快 地 全 面 恢复 运行 计算 机 系统 所 需 的 数据 和 系统 信息 。 
备份 不 仅 可 以 在 网 络 系统 硬件 故障 或 人 为 失误 时 起 到 保护 作用 ， 也 可 以 在 入 侵 者 非 授权 访 
问 或 对 网 络 攻击 及 破坏 数据 完整 性 时 起 到 保护 作用 ， 同 时 也 是 系统 灾难 恢复 的 前 提 之 一 。 








9 








(CG@》 计算 机 网 络 安全 与 管理 项 目 教程 





潼 洲 党 粮 壮 ” 革 潍 车 此 外 纠 招 也 


1.2 ”现代 信息 认证 技术 


1.2.1 现代 信息 认证 技术 需要 解决 的 问题 

现代 信息 认证 技术 是 互联 网 安全 通信 和 交易 的 重要 保障 ， 其 解决 的 问题 主要 有 以 下 
几 个。 

1. 信息 传输 的 保密 性 

网 络 通信 的 内 容 可 能 会 涉及 公文 、 信 用 卡 账号 和 口令 、 订 货 和 付款 等 信息 ， 这 些 敏感 
信息 在 传输 过 程 中 存在 被 监听 和 泄露 的 可 能 性 。 因 此 ， 这 些 敏感 信息 在 传输 中 均 有 加 密 的 
要 求 。 

2. 身份 的 确定 性 

网 络 通信 的 双方 和 交易 的 双方 素 昧 平生 ， 如 何 确定 对 方 的 真实 身份 显得 尤为 重要 。 例 
如 ， 甲 收 到 一 封 邮件 ， 邮 件 落款 是 乙 ， 那 么 甲 任 什么 相信 这 封 邮件 的 确 是 由 乙 发 送 的 ， 而 
不 是 其 他 人 冒充 他 发 送 的 ? 因此 ， 确 定 网 络 通信 双方 的 身份 是 安全 通信 和 交易 的 前 提 。 

3. 信息 的 不 可 否认 性 

不 可 否认 性 是 指 凡 是 发 出 的 信息 就 不 能 再 否认 或 者 更 改 , 正如 现实 生活 中 签订 的 合同 
一 旦 双方 签字 ， 就 不 能 再 对 合同 的 内 容 进行 否定 和 更 改 ， 必 须要 负担 相应 的 法 律 责任 。 

4. 信息 的 完整 性 

信息 的 完整 性 是 指 信息 在 存储 或 传输 过 程 中 不 受 偶然 或 者 恶意 的 原因 和 更改、 破坏 。 例 
如 ， 数 字 签 名 技术 就 可 以 针对 信息 完整 性 进行 检验 ， 让 信息 接收 方 检验 收 到 的 数据 是 否 是 
发 送 方 发 送 的 原版 信息 ， 如 果 信 息 在 传输 过 程 中 完整 性 受到 破坏 ， 那 么 接收 方 就 不 再 相信 
信件 的 内 容 。 























1.2.2 ”现代 信息 认证 技术 的 方法 


现代 信息 认证 技术 建立 在 现代 加 密 技术 的 基础 之 上 ， 因 此 必须 对 现代 加 密 技术 有 一 定 
的 了 解 。 

1. 信息 加 密 技术 

1) ”加 密 技术 模型 

加 密 的 实质 就 是 对 要 传输 的 明文 信息 进行 变换 , 避免 信息 在 传输 过 程 中 被 其 他 人 读 取 ， 
从 而 保证 信息 的 安全 ， 加 密 模型 中 涉及 的 概念 有 以 下 几 个 。 

(1) 明文 (MD): 即 未 经 加 密 的 信息 或 数据 ， 即 数据 信息 的 原始 形式 。 

(2) 密 文 (Ciphertext，C): 明文 经 过 变换 后 ， 局 外 人 难以 识别 的 形式 。 
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(3) 加 密 算法 (Encryption，E): 加 密 时 使 用 的 信息 变换 规则 。 

(4) 解密 算法 (Decryption，D): 解密 时 使 用 的 信息 变换 规则 。 

(5) 密 钥 区 ): 控制 算法 进行 运算 的 参数 ， 对 应 加 密 和 解密 两 种 情况 ， 密 钥 分 为 加 密 密 
WM 密 钥 可 以 是 很 多 数值 里 的 任意 值 ， 其 可 能 的 取 值 范围 叫 作 密 钥 空 间 。 

例如 ， 甲 需要 向 乙 发 送 一 个 数字 串 1、2、3、4， 担 心 明文 发 送 会 被 窍 听 ， 于 是 甲 采 用 
ee 这 个 数学 函数 就 相当 于 加 密 算法 。 由 于 k 取 不 
同 的 值 会 有 不 同 的 加 密 结果 ， 因 此 甲 必须 选用 一 个 确定 的 k 值 ， 假 定 取 k=2， 这 就 相当 于 
加 密 密 钥 ， 转 换 后 的 结果 则 是 3、5、7、9， 相 当 于 密 文 。 接 收 方 收 到 3、5、7、9 后 必须 
要 用 函数 x=(y-1)/k 才能 解密 ,这 个 函数 就 相当 于 解密 函数 ， 然 而 还 必须 知道 k 的 取 值 ， 才 
能 正确 解密 ， 这 里 k=2 就 相当 于 解密 密 钥 。 

2) ”现代 信息 加 密 技术 

现代 信息 加 密 技术 主要 有 对 称 密 钥 加 密 技 术 、 非 对 称 密 钥 加 密 技 术 和 Hash 加 密 技 术 。 

(1) 对 称 密 钥 加 密 技术 。 如 果 加 密 密 钥 和 解密 密 钥 相同 ， 则 称 这 种 加 密 技术 为 对 称 密 
钥 加 密 技术 ， 其 模型 如 图 1-1 所 示 ， 其 加 密 和 解密 的 数学 表示 为 : EK(M)=C; DK(C)=M。 
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1-1 对 称 密 钥 加 密 技术 模型 


对 称 密 钥 加 密 技术 的 特点 是 ， 加 密 速度 快 ， 安 全 性 高 ， 但 是 密 钥 管理 成 为 重要 事宜 。 
在 这 种 加 密 技术 下 ， 算 法 是 可 以 公开 的 , 但 必须 对 密 钥 进行 保密 ， 安 全 性 依赖 于 密 钥 的 
保密 。 

对 称 密 钥 加 密 技 术 的 代表 性 算法 是 DES(Data Encryption Standard) 算 法 ， 它 是 20 世纪 
50 年 代 以 来 密码 学 研究 领域 出 现 的 最 具 代 表 性 的 两 大 成 就 之 一 ， 由 IBM 公司 研制 。DES 
算法 以 56 位 长 的 密 钥 对 以 64 位 为 长 度 单位 的 二 进 制 数据 加 密 ,产生 64 位 长 度 的 密 文 数据 。 

(2) 非 对称 密 钥 加 密 技 术 。 如 果 加 密 的 密 钥 kl 和 解密 的 密 钥 k2 不 同 ， 虽 然 两 者 存在 
一 定 的 关系 ， 但 是 不 容易 从 一 个 推导 出 男 一 个 ， 可 以 将 一 个 公开 ， 另 一 个 保密 ， 这 种 加 密 
密 钥 和 解密 密 钥 不 同 (k1 关 k2) 的 加 密 技术 称 为 非 对 称 密 钥 加 密 技术 , 模型 如 图 1-2 所 示 , 其 
数学 表示 为 Ex:(M)=C; De(C)=M。 


加 密 密 铀 K1 解密 窗 铜 K2 
明文 效 据 M |“ 加 宫 委 六 E | 空 文 效 据 


图 1-2 ” 非 对 称 密 钥 加 密 技术 模型 
非 对 称 密 钥 加 密 技 术 比较 适合 网 络 的 开放 性 要 求 ， 但 算法 复杂 ， 速 度 较 慢 ， 大 量 用 于 
数字 签名 。 它 的 代表 性 算法 是 1978 年 诞生 的 RSA 算法 , 但 RSA 的 安全 性 一 直 未 能 得 到 理 
论 上 的 证 明 。 几 十 年 来 一 直 有 人 做 大 量 的 工作 试图 破解 ， 但 都 没有 成 功 。 其 原理 是 依赖 于 
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大 数 因子 的 分 解 ， 同 时 产生 一 对 密 钥 ， 一 个 作为 “ 公 钥 ”公开 ， 一 个 作为 “ 私 钥 ” 不 告诉 


个 





F 何 人。 这 两 个 密 钥 是 互补 的 ， 即 用 公 钥 加 密 的 密 文 可 以 用 私 钥 解密 ， 反 过 来 也 可 以 。 


RSA 是 第 一 个 既 能 用 于 数据 加 密 也 能 用 于 数字 签名 的 算法 。 现 将 RSA 算法 的 运算 步骤 





简单 介绍 如 下 。 


Q@ 选择 两 个 大 素数 p 和 q( 典 型 情况 下 为 1024 位 ， 保 密 )。 
@ 计算 n=pxq 和 z=(p-1)x(q-1)。 

图 选择 一 个 与 z 互 素 的 数 ， 称 其 为 e。 

由 找到 d， 使 其 满足 exd=l mod z。 

算法 和 密 钥 的 情况 如 表 1-1 所 示 。 


表 1-1 RSA 算法 原理 


公开 密 钥 是 两 个 素数 p 和 q 的 乘积 
: 是 D-Dx(q-U 互 素 
私有 密 钥 : 是 两 个 素数 p 和 q 的 乘积 
: 是 (exd)=lmod(p-1)(q-1)) 互 素 
加 密 运 算 c=m°mod n 
解密 运算 m=cdmodn 





现 以 一 个 例子 详细 阐述 RSA 算法 的 原理 。 
@ 选择 素数 : p=17，q=11 
加 计算 n=pxq=17x11=187; 

z=(p-1) x(q-1)=16x10=160 
图 选择 e: gcd(e，160)=1( 该 公式 表示 e 和 160 的 最 大 公约 数 为 ); 选择 e=7 
@ 
© 





确定 d: dxe=l mod 160 且 d<160， 可 选择 d=23 
公 钥 为 ku={7,187}; 私 钥 为 kr={23,187} 
假定 给 定 的 消息 为 M=88， 则 
e ”加 密 : c=88 mod 187=11 
。 解密: m=11”mod 187=88 
作为 一 种 公开 密 钥 算法 ，RSA 算法 具有 以 下 几 个 特性 。 
e 同时 产生 一 对 密 钥 ， 即 加 密 密 钥 E 和 解密 密 钥 D， 两 个 密 钥 基本 不 能 相互 推导 。 
。 ”加 密 密 钥 和 加 密 、 解 密 算 法 一 起 公开 ， 只 对 解密 密 钥 DD 保密 ， 而 且 必须 保密 。 
e ”加 密 密 钥 只 能 用 于 加 密 ， 不 能 用 于 解密 。 
e ”只 有 同时 拥有 解密 密 钥 和 解密 算法 才能 解读 密 文 得 到 明文 。 
(3) Hash 加 密 技术 ( 散 列 技术 / 哈 希 技术 )。Hash 一 般 翻 译 为 “ 散 列 ”， 就 是 把 任意 长 度 











的 输入 ， 通 过 单 向 散 列 算法 ， 变 换 成 固定 长 度 的 输出 ， 该 输出 就 是 散 列 值 。 这 种 转换 是 一 


种 压缩 映射 ， 也 就 是 说 ， 散 列 值 的 空间 通常 远 小 于 输入 的 空间 。 数学 表述 为 


h=HOM) 
其 中 ，HO 是 单 向 散 列 函数 ，M 是 任意 长 度 明 文 ，h 是 固定 长 度 散 列 值 。 
典型 的 散 列 算法 包括 MD4、MD5、SHAI 等 。 
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Hash 加 密 技 术 的 特点 主要 包括 以 下 几 个 方面 。 

QD 单 向 性 。 单 向 散 列 算法 是 公开 的 ， 但 是 不 能 从 散 列 值 算出 输入 值 。 

@ 唯一 性 。 只 要 输入 信息 发 生 微小 变化 ， 散 列 值 就 会 不 同 ， 所 以 散 列 算法 主要 用 于 
保证 文件 的 完整 性 和 不 可 更 改 性 。 

由 于 Hash 加 密 技 术 具 有 上 述 特点 , 所 以 常用 于 不 可 还 原 的 密码 存储 、 信 息 完整 性 校 验 
等 场合 。 

2. 数字 签名 技术 


1) ”数字 签名 的 概念 

数字 签名 是 通过 一 个 单 向 函数 对 要 传送 的 报 文 进行 处 理 得 到 的 用 以 认证 报 文 来 源 并 核 
实 报 文 是 否 发 生变 化 的 一 个 字母 数字 串 。 数 字 签 名 并 非 手写 签名 或 者 盖 章 的 图 像 化 ， 从 形 
态 上 来 看 ， 它 是 附加 在 文档 末尾 的 字母 数字 串 。 从 技术 上 来 看 ， 数 字 签 名 是 发 送 方 用 自己 
的 私 钥 对 信息 摘要 加 密 的 结果 。 

2) “数字 签名 的 作用 

数字 签名 的 作用 主要 体现 在 以 下 两 个 方面 。 

(1) 验证 信息 发 送 者 的 身份 。 当 用 户 收 到 一 封 带 有 数字 签名 的 信件 时 ， 可 以 根据 数字 
签名 的 验证 情况 判断 信件 是 不 是 的 确 由 信件 中 所 声称 的 身份 发 出 , 而 不 是 被 冒充 的 ; 同时 ， 
信件 中 数字 签名 的 法 律 效 用 相当 于 手写 签名 或 者 印章 。 

(2) 保证 信息 传输 的 完整 性 。 当 用 户 接收 到 信件 时 ， 可 以 对 数字 签名 进行 验证 ， 从 而 
判断 信件 是 不 是 在 传输 过 程 中 被 第 三 者 修改 过 ， 对 于 完整 性 受到 破坏 的 信件 不 予 信任 。 

2004 年 8 月 28 日 ,全 国人 大 通过 了 《中 华人 民 共和 国电 子 签名 法 》( 以 下 简称 《电子 
签名 法 》)， 并 于 2005 年 4 月 1 日 起 施行 。《 电 子 签名 法 》 的 出 台 ， 使 数字 签名 这 种 电子 
签名 形式 获得 了 法 律 地 位 ， 开 启 了 中 国电 子 商务 立法 的 大 门 ， 为 网 络 经 济 的 发 展 提供 了 良 
好 的 环境 。 

3. 数字 证 书 、CA 中 心 和 公 钥 基础 设施 

1) ”数字 证 书 

数字 证 书 是 网 络 通信 中 标识 各 方 身份 信息 的 一 系列 数据 ,提供 了 一 种 在 Intemet 环境 中 
验证 身份 的 方式 , 它 是 由 权威 公正 的 第 三 方 机 构 一 一 CA 中 心 颁发 的 , 用 于 证 明证 书 中 的 公 
钥 确实 属于 该 证 书 持 有 人 。 

(1) 数字 证 书 的 作用 。 数 字 证 书 的 作用 主要 体现 在 以 下 三 个 方面 。 

中 身份 认证 。 网 上 双方 经 过 相互 验证 数字 证 书后 ， 不 用 再 担心 对 方 身份 的 真 伪 ， 可 
以 放心 地 与 对 方 进行 交流 或 授予 相应 的 资源 访问 权限 。 

@ ”加 密 传输 信息 。 无 论 是 文件 、 批 文 ， 还 是 合同 、 票 据 、 协 议 、 标 书 等 ， 都 可 以 经 
过 加 密 后 在 Intemet 上 传输 。 发送 方 用 接收 方 数字 证 书 中 所 包含 的 公 钥 对 报 文 进行 加 密 ， 接 
收 方 用 自己 保密 的 私 钥 进行 解密 ， 得 到 报 文明 文 。 

图 数字 签名 抗 否 认 。 在 现实 生活 中 用 公章 、 签 名 等 来 实现 的 抗 否认 在 网 上 可 以 借助 
数字 证 书 的 数字 签名 来 实现 。 

(2) 数字 证 书 的 分 类 。 基 于 数字 证 书 的 应 用 角度 不 同 ， 数 字 证 书 可 以 分 为 以 下 几 种 。 

@ 服务 器 证 书 。 安 装 于 服务 器 设备 上 ， 用 来 证 明 服务 器 的 身份 ( 防 站 点 假冒 ); 和 进行 
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通信 加 密 ， 一 般 网 上 银行 的 服务 器 通常 都 有 相应 的 服务 器 证 书 。 

@ 电子 邮件 证 书 。 用 于 对 电子 邮件 进行 签名 和 加 密 ， 认 证 邮件 来 源 和 保护 邮件 内 容 
的 机 密 性 。 

@ 个 人 客户 端 证 书 。 客 户 端 证 书 主要 用 来 进行 身份 验证 和 电子 签名 。 

@ 企业 证 书 。 颁 发 给 独立 的 单位 、 组 织 ， 在 互联 网 上 证 明 该 单位 、 组 织 的 身份 。 

@ ”代码 签署 证 书 。 颁 发 给 软件 开发 者 的 证 书 ， 方 便 用 户 识别 软件 的 来 源 和 完整 性 。 

数字 证 书 可 以 存储 于 计算 机 中 ， 也 可 以 存储 于 专用 的 芯片 中 ， 为 了 提高 数字 证 书 的 安 
全 性 ， 防 止 受到 病毒 和 木马 的 攻击 ， 现 在 越 来 越 多 的 重要 场合 将 数字 证 书 存 储 到 专用 芯片 
中 。 图 1-3 所 示 是 中 国 工商 银行 颁发 给 网 上 银行 用 户 的 客户 端 证 书 一 一 U 盾 。 








1-3 ”中 国 工商 银行 的 U 盾 


2) CA 中 心 

CA 中 心 又 称 证 书 授权 (Certificate Authority) 中 心 ， 它 是 负责 签发 证 书 、 认 证 证 书 、 管 
理 已 颁发 证 书 的 第 三 方 权 威 公证 机 关 。CA 中 心 在 整个 电子 商务 环境 中 处 于 至 关 重 要 的 位 
置 ， 是 电子 商务 整个 信任 链 的 基础 。 如 果 CA 中 心 颁发 的 数字 证 书 不 安全 或 者 不 具有 权威 
性 ， 那 么 网 上 电子 交易 就 无 从 谈 起 。CA 中 心 的 权威 性 来 自 国 家 的 认证 ，CA 认证 机 构 必须 
获得 国家 颁发 的 《电子 认证 服务 许可 证 》 等 资质 证 书 之 后 才能 提供 CA 认证 服务 。 

3) ” 公 钥 基础 设施 

PKI(Public Key Infrastructure) 是 基于 公 钥 算法 和 技术 , 为 网 络 应 用 提供 安全 服务 的 基础 
设施 。 它 是 创建 、 颁 发 、 管 理 、 注 销 公 钥 证 书 涉及 的 所 有 软件 、 硬 件 的 集合 体 。PKI 的 核 
心 元 素 是 数字 证 书 ， 核 心 执行 者 是 CA 认证 机 构 。PKI 的 基本 构成 包括 以 下 几 个 方面 。 

(1) 权威 认证 机 构 (CA): 数字 证 书 的 签发 和 管理 机 关 。 

(2) 数字 证 书库 : 用 于 存储 已 签发 的 数字 证 书 及 公 钥 ， 用 户 可 由 此 获得 所 需 的 其 他 用 
户 的 证 书 及 公 钥 。 

(3) 密 钥 备份 及 恢复 系统 :防止 解密 密 钥 丢失 。 

(4) 证 书 作 废 处 理 系统 : 对 于 密 钥 泄露 或 用 户 身份 改变 的 情况 ， 要 对 证 书 进行 作废 处 理 。 

(5) 应 用 接口 系统 。 





1.3 Internet 网 络 安全 技术 


1.3.1 防 病毒 技术 


1. 计算 机 病毒 概述 
计算 机 病毒 (Computer Virus) 是 一 种 人 为 编制 的 能 够 自我 复制 并 传染 的 一 组 计算 机 指令 
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或 者 程序 代码 ， 具 有 一 定 的 破坏 作用 。 目 前 ， 广 义 上 的 病毒 也 包括 以 窃取 用 户 信息 为 主 的 
木马 。 





1) 计算 机 病毒 的 特点 

计算 机 病毒 虽然 也 是 程序 , 但 和 普通 程序 有 所 不 同 , 具有 区 别 于 其 他 程序 的 明显 特点 。 
总 体 上 讲 ， 无 论 什 么 样 的 病毒 ， 通 常 都 具有 以 下 几 个 特点 。 

(1) 破坏 性 。 计 算 机 病毒 可 以 破坏 计算 机 的 操作 系统 、 用 户 数 据 甚 至 硬件 设备 (如 20 
世纪 90 年 代 初 流行 的 CIH 病毒 , 会 破坏 主板 的 BIOS, 使 主板 损坏 )。 根据 病毒 作者 意图 的 
不 同 ， 病 毒 破坏 性 的 表现 也 有 所 不 同 。 

(2) 传染 性 。 传 染 性 是 计算 机 病毒 的 本 质 特 征 。 计 算 机 病毒 一 般 能 够 通过 网 络 或 者 文 

件 拷贝 进行 传染 ， 传 染 途 径 非 常 多 。 
(3) 潜伏 性 。 有 些 病 毒 就 像 定时 炸弹 ， 病 毒 感染 计算 机 后 ， 不 一 定 会 立刻 表现 出 其 破 
坏 作用 ， 而 是 会 进行 一 段 时 间 的 潜伏 ， 等 待 触发 条 件 满 足 时 才 会 发 作 ， 如 “黑色 星期 五 病 
毒 ” 只 有 在 星期 五 的 时 候 才 会 发 作 。 病 毒 的 潜伏 性 越 好 ， 其 在 系统 中 存在 的 时 间 就 越 长 ， 
传染 的 范围 也 就 越 广 。 

(4) 隐藏 性 。 计算 机 病毒 具有 很 强 的 隐蔽 性 ， 它 可 以 在 不 被 人 觉察 的 情况 下 进入 系统 ， 
寄生 于 某 些 位 置 ， 并 在 不 被 觉察 的 情况 下 得 到 运行 ， 有 的 可 以 通过 杀毒 软件 检查 出 来 ， 有 
的 根本 就 查 不 出 来 ， 有 的 时 隐 时 现 、 变 化 无 常 ， 给 病毒 预防 的 清除 带 来 极 大 困难 。 计 算 机 
病毒 的 隐藏 地 点 通常 是 系统 的 引导 区 、 可 执行 文件 、 数 据 文件 、 硬 盘 分 区 表 、 分 区 根 目录 、 
操作 系统 目录 等 。 

随 着 计算 机 病毒 数量 和 技术 的 不 断 演 化 ， 用 户 的 计算 机 系统 和 数据 面临 越 来 越 严峻 的 
考验 。 但 是 不 论 病毒 技术 如 何 进化 ， 病 毒 所 具有 的 破坏 性 、 传 染 性 、 潜 伏 性 、 隐 藏 性 四 大 
特征 是 没有 变化 的 ， 其 中 隐藏 性 是 传染 性 、 潜 伏 性 、 破 坏 性 得 以 实施 和 表现 的 根本 保障 。 

2) ”计算 机 病毒 的 分 类 

从 第 一 个 计算 机 病毒 出 现 以 来 ， 世 界 上 究竟 有 多 少 种 病毒 ， 说 法 不 一 。 至 今 病毒 的 数 
量 仍然 以 加 速度 的 方式 不 断 增 加 ， 且 表现 形式 也 日 趋 多 样 化 。 通 过 适当 的 标准 把 它们 分 门 
别 类 地 归纳 成 几 种 类 型 ， 可 以 更 好 地 了 解 和 消灭 它们 。 在 计算 机 病毒 出 现 的 早期 ， 计 算 机 
病毒 的 形式 不 多 ， 变 化 不 大 ， 所 以 人 们 简单 地 按照 寄生 方式 将 病毒 分 为 引导 型 、 文 件 型 和 
混合 型 三 种 。 现 在 的 计算 机 病毒 已 经 有 了 很 大 变化 ， 但 是 三 种 类 型 的 分 法 还 是 沿用 至 今 ， 
只 是 对 新 的 病毒 冠 以 特殊 的 名 称 ， 如 宏 病 毒 、 脚 本 病毒 、 蠕 虫 等。 

(1) 引导 型 病毒 。 这 种 病毒 寄生 于 磁盘 的 主 引导 扇 区 ， 当 使 用 被 感染 的 MS-DOS 系统 
时 ， 病 毒 被 触发 。 这 种 病毒 开机 即 可 启动 ， 且 先 于 操作 系统 存在 ， 常 驻 内 存 ， 破 坏 性 很 大 ， 
典型 的 有 Brain、 小 球 病毒 等 。 

(2) 文件 型 病毒 。 这 种 病毒 寄生 在 文件 中 (包括 数据 文件 和 可 执行 文件 )， 当 运行 文件 
时 即 可 激活 病毒 ， 其 常 驻 内 存 ， 破 坏 性 大 。 例 如 ，2007 年 出 现 的 “ 磁 碟 机 ”病毒 ， 其 主要 
寄生 对 象 是 扩展 名 为 .exe 的 可 执行 文件 ， 用 户 通过 肉眼 很 难 判断 文件 是 否 已 经 寄生 病毒 。 

(3) 混合 型 病毒 。 集 引导 型 病毒 和 文件 型 病毒 的 特点 于 一 身 ， 既 感染 磁盘 的 引导 记录 ， 
又 感染 文件 ， 因 此 它 的 破坏 性 更 大 ， 传 染 机 会 更 多 ， 杀 灭 也 更 困难 。 





























© 








(CG@》 计算 机 网 络 安全 与 管理 项 目 教程 





潼 洲 尘 粮 壮 ” 寺 潍 从 睹 外 纠 招 也 


(4) 宏 病 毒 。 它 是 由 MS Office 的 宏 语言 编写 (如 VBA 语言 ), 专门 感染 微软 MS Office 
软件 的 一 种 病毒 。 由 于 MS Office 的 应 用 非常 广泛 ， 而 且 宏 语言 简单 易学 ， 功 能 强大 ， 所 
以 宏 病 毒 广泛 流行 。 

(5) VBS 脚本 病毒 。 用 微软 的 VBScript 脚本 编写 ， 通 过 正 浏览 器 激活 。 当 访问 一 个 
被 感染 的 网 页 时 ， 病 毒 即 被 下 载 到 本 地 并 激活 。 

(6) 蠕虫 。 蠕 虫 病毒 是 一 种 通过 网 络 自 动 传染 的 恶性 病毒 ， 对 计算 机 系统 和 网 络 具 有 
极 大 的 破坏 性 。 

(7) 木马 。“ 木 马 ” 程 序 是 目前 比较 流行 的 病毒 ， 与 传统 的 病毒 不 同 ， 它 不 会 表现 出 
明显 的 破坏 作用 。 它 通过 伪装 吸引 用 户 下 载 执行 ， 执 行 后 盗 取 用 户 计 算 机 内 的 有 用 数据 或 
者 打开 系统 后 门 以 方便 黑客 远程 连接 和 控制 ， 其 潜在 的 破坏 性 比 传统 病毒 大 得 多 ， 所 以 目 
前 也 将 其 称 为 “第 二 代 病 毒 ”。 


[也 重点 : 计算 机 病毒 的 传播 途径 。 


3) “计算 机 病毒 的 传播 途径 

从 第 一 个 病毒 的 诞生 到 现在 ， 病 毒 技术 在 不 断 地 演化 ， 不 仅 种 类 繁多 ， 而 且 其 传播 途 
径 也 在 不 断 增多 。 病 毒 ( 含 木马 ) 的 传播 途径 主要 有 以 下 几 种 。 

(1) 文件 复制 。 这 是 病毒 发 展 早期 就 采用 的 传播 途径 ， 但 是 由 于 文件 复制 的 频繁 性 ， 
时 至 今日 这 仍 是 病毒 传播 的 最 主要 途径 之 一 。 用 户 将 移动 存储 设备 (如 移动 硬盘 、U 盘 、 可 
刻录 光盘 等 ) 插 入 感染 病毒 的 计算 机 后 ， 病 毒 进程 会 自动 在 这 些 设备 上 写 入 病毒 文件 , 或 者 
是 用 户 复制 了 带 有 病毒 文件 的 文件 夹 ， 病 毒 被 动 地 复制 到 存储 设备 上 。 将 这 些 带 有 病毒 文 
件 的 移动 存储 设备 插入 其 他 计算 机 时 ， 很 容易 造成 新 的 感染 。 例 如 ， 病 毒 可 以 在 移动 存储 
设备 的 根 目 录 下 建立 一 个 名 为 autorun.inf 的 文件 ， 利 用 操作 系统 的 自动 播放 或 者 用 户 双击 
来 感染 计算 机 ， 让 用 户 防不胜防 。 

(2) 软件 下 载 。 一 些 非 正规 的 网 站 以 软件 下 载 为 诱饵 ， 将 病毒 捆绑 在 软件 安装 程序 上 ， 
用 户 下载 后 ， 只 要 运行 这 些 程序 ， 病 毒 就 会 安装 并 运行 。 

(3) 网 页 浏览 。 现 在 很 多 病毒 (尤其 是 木马 病毒 ) 都 使 用 网 页 插件 的 方式 传播 ， 如 果 浏 
览 器 的 安全 设置 过 低 就 很 容易 感染 计算 机 。 

(4) 电子 邮件 附件 。 攻 击 者 将 木马 程序 以 附件 的 形式 夹 在 邮件 中 发 送出 去 ， 收 信人 只 
要 打开 附件 就 很 容易 感染 病毒 。 当 用 户 收 到 以 exe、vbs、vbe、js、jse、wsh、wsf 等 为 扩展 
名 的 附件 时 ， 在 不 能 确认 来 源 的 情况 下 ， 建 议 谨慎 打开 。 

(5) 通过 即时 通信 软件 进行 传染 。 目 前 大 多 数 即 时 通信 软件 (如 QQ、MSN 等 ) 都 具备 
传送 文件 的 能 力 ， 而 病毒 可 以 隐藏 在 程序 或 者 图 片 等 文件 中 ， 随 着 文件 的 分 散 而 不 断 得 到 
传播 。 

(6) 通过 网 络 自动 传染 。 蠕 虫 病毒 在 传染 时 可 以 不 依赖 用 户 的 介入 ， 只 要 接 通 网 络 ， 
并 且 计算 机 存在 相应 的 漏洞 ， 就 可 以 实现 自动 地 传染 ， 蠕 虫 病毒 的 传播 将 在 后 面 做 详细 
介绍 。 

4) ”计算 机 病毒 的 危害 

(1) 对 计算 机 数据 信息 的 直接 破坏 。 部 分 病毒 在 发 作 时 会 直接 破坏 计算 机 的 重要 信息 
数据 ， 所 利用 的 手段 有 格式 化 磁盘 、 改 写 文件 分 配 表 和 目录 区 、 删 除 重要 文件 或 者 用 无 意 
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义 的 “垃圾 ”数据 改写 文件 、 破 坏 CMOS 设置 等 

(2) 占用 磁盘 空间 和 对 信息 的 破坏 。 寄 生 在 磁盘 上 的 病毒 总 要 非法 占用 一 部 分 磁盘 空 
间 。 引 导 型 病毒 的 一 般 侵占 方式 是 由 病毒 本 身 十 据 磁盘 引导 肩 区 ， 而 把 原来 的 引导 区 转移 
到 其 他 肩 区 ， 也 就 是 引导 型 病毒 要 履 益 一 个 磁盘 扇 区 。 被 覆盖 的 扇 区 数据 永久 性 丢失 ， 无 
法 恢复 。 一 些 文件 型 病毒 传染 速度 很 快 ， 在 短 时 间 内 感染 硬盘 中 的 大 量 文件 ， 使 每 个 文件 
体积 都 不 同 程度 地 变 大 ， 从 而 造成 磁盘 空间 的 严重 浪费 。 

G) 抢占 系统 资源 。 除 少数 病毒 外 ， 大 多 数 病毒 在 动态 下 者 是 常 驻 内 存 的 ， 这 就 必然 
会 抢占 一 部 分 系统 资源 。 病 毒 所 占用 的 基本 内 存 长 度 大 致 与 病毒 本 身长 度 相当 。 病 毒 抢占 
内 存 ， 导 致 内 存 减少 ， 一 部 分 软件 不 能 运行 。 除 占用 内 存 外 ， 病 毒 还 抢占 中 断 ， 计 算 机 操 
作 系统 的 很 多 功能 是 通过 中 断 调用 技术 来 实现 的 ， 病 毒 为 了 传染 发 作 ， 总 是 修改 一 些 有 关 
的 中 断 地 址 ， 从 而 干扰 了 系统 的 正常 运行 。 

(4) 影响 计算 机 的 运行 速度 。 病 毒 进驻 内 存 后 不 但 干扰 系统 运行 ， 还 影响 计算 机 的 运 
行 速度 ， 其 原因 在 于 病毒 运行 时 通常 要 监视 计算 机 的 工作 状态 ， 对 病毒 文件 自身 进行 加 密 
和 解密 等 ， 这 些 操作 会 占用 大 量 CPU 时 间 ， 造 成 计算 机 变 慢 。 

(5) 计算 机 病毒 错误 与 不 可 预见 的 危害 .病毒 程 序 的 编制 并 不 像 正常 程序 的 开发 那样 
发 布 前 需要 经 过 大 量 的 测试 。 很 多 计算 机 病毒 都 是 个 别人 在 一 台 计算 机 上 匆匆 编制 调试 后 
就 向 外 抛 出 。 反 病毒 专家 在 分 析 大 量 病毒 后 发 现 绝 大 部 分 病毒 都 存在 不 同 程度 的 错误 。 钳 
误 病 毒 的 另 一 个 主要 来 源 是 变种 病毒 。 有 些 初学 计算 机 者 尚 不 具 各 独立 编制 软件 的 能 力 ， 
出 于 好 奇 或 其 他 原因 修改 别人 的 病毒 ， 生 成 病毒 变种 ， 其 中 隐 合 很 多 错误 。 计 算 机 病毒 错 
误 所 产生 的 后 果 往往 是 不 可 预见 的 ， 有 可 能 比 病毒 本 身 的 危害 性 还 要 大 。 

(@ 计算 机 病毒 给 用 户 造成 严重 的 心理 压力 。 据 有 关 计算 机 销售 部 门 统计 ， 计 算 机 售 
后 用 户 怀疑 “计算 机 有 病毒 ”而 提出 咨询 约 占 售后 服务 工作 量 的 6096 以 上 ， 经 检测 确实 存 
在 病毒 的 约 占 70%， 另 有 3096 的 情况 只 是 用 户 怀疑 ， 而 实际 上 计算 机 并 没有 病毒 。 在 这 种 
疑似 “有 病毒 ”的 情况 下 ， 用 户 可 能 会 选择 格式 化 硬盘 ， 重 新 安装 操作 系统 ， 甚 至 有 的 企 
业 中 断 服务 器 服务 以 进行 检查 维护 等 ， 极 大 地 影响 了 计算 机 系统 的 正常 工作 ， 造 成 一 些 不 
必要 的 损失 。 

2. 反 病 毒 软件 


软件 防 病毒 技术 就 是 指 通过 病毒 防护 软件 来 保护 计算 机 免 受 病毒 的 攻击 和 感染 。 病 毒 
防护 软件 在 国际 上 通称 为 “ 反 病 毒 软件 ”(Anti-virus Software)， 国 内 通常 称 为 杀毒 软件 。 随 
着 病毒 传播 方式 的 增多 和 隐蔽 性 的 增强 ， 杀 毒 软件 也 集成 了 越 来 越 多 的 功能 。 云 计算 是 当 
今 IT 领域 新 兴 的 理念 和 技术 ， 是 未 来 IT 行业 的 发 展 趋势 ， 依 托 云 计 算 技 术 ， 发 展 出 云 安 
全 、 云 杀毒 等 技术 ， 这 是 未 来 很 长 一 段 时 间 内 防 病毒 软件 技术 的 发 展 趋势 。 

反 病 毒 软件 的 任务 是 实时 监控 和 扫描 磁盘 ， 这 是 任何 反 病 毒 软件 的 两 大 基本 功能 。 反 
病毒 软件 的 实时 监控 方式 因 软件 而 异 。 有 的 是 通过 在 内 存 里 划分 一 部 分 空间 ， 将 内 存 中 的 
程序 代码 与 反 病 毒 软件 自身 所 带 的 病毒 库 (包含 病毒 特征 代码 ) 的 特征 码 相 比较 ， 以 判断 是 
否 为 病毒 。 反 病毒 软件 开发 商 不 断 搜集 新 出 现 的 病毒 ， 搜 集 到 样本 后 对 其 进行 分 析 ， 将 其 
特征 代码 纳入 病毒 库 中 ， 只 有 当 用 户 更 新 杀毒 软件 病毒 库 后 ， 其 安装 的 反 病毒 软件 才能 识 
别 新 的 病毒 。 另 一 些 反 病毒 软件 则 在 所 划分 到 的 内 存 空 间 里 ， 虚 拟 执 行 系统 或 用 户 提 交 的 
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程序 ， 根 据 其 行为 或 结果 做 出 判断 。 而 扫描 磁盘 的 方式 ， 和 实时 监控 的 工作 方式 类 似 ， 反 
病毒 软件 会 对 磁盘 上 所 有 的 文件 (或 者 用 户 自 定义 的 扫描 范围 内 的 文件 ) 做 一 次 检查 。 


3. 常见 的 反 病 毒 软件 产品 简介 


1) ”金山 毒霸 

金山 毒霸 (Kingsoft Anti-Virus) 是 金山 软件 股份 有 限 公 司 研制 开发 的 高 智能 反 病毒 软 
件 ， 融 合 了 启发 式 搜 索 、 代 码 分 析 、 虚 拟 机 查 毒 等 经 业界 证 明成 熟 可 靠 的 反 病毒 技术 ， 使 
其 在 查 杀 病毒 种 类 、 查 杀 病 毒 速度 、 未 知 病毒 防治 等 多 方面 达到 世界 先进 水 平 ， 同 时 金山 
毒霸 具有 病毒 防火 墙 实 时 监控 、 压 缩 文件 查 毒 、 查 杀 电子 邮 件 病毒 等 多 项 先进 的 功能 。 金 
山 毒 霸 是 国内 目前 通过 国际 权威 认证 VB100 次 数 最 多 的 杀毒 软件 , 达到 了 14 次 (截至 2015 
年 8 月 )。 

“金山 毒霸 11.6.9” 是 目前 金山 公司 推出 的 一 款 最 新 杀毒 软件 (截至 2017 年 11 月 )， 是 
国产 杀毒 软件 中 的 首 款 云 杀毒 软件 。 

2) “360 杀毒 

360 杀毒 是 360 安全 中 心 出 品 的 一 款 免费 的 云 安全 杀毒 软件 ， 具 有 查 杀 率 高 、 资 源 占 
用 少 、 升 级 迅速 等 优点 。 零 广告 、 零 打扰 、 零 胁迫 ， 一 键 扫描 ， 快 速 、 全 面 地 诊断 系统 安 
全 状况 和 健康 程度 ， 并 进行 精准 修复 。 其 防 杀 病毒 能 力 得 到 多 个 国际 权威 安全 软件 评测 机 
构 认 可 ， 荣 获 多 项 国际 权威 认证 。 它 创新 性 地 整合 了 五 大 领先 查 杀 引擎 ， 包 括 国际 知名 的 
BitDefender 病毒 查 杀 引 擎 、 小 红 伞 病 毒 查 杀 引擎 、360 云 查 杀 引 擎 、360 主动 防御 引擎 以 
及 360 第 二 代 QVM 人 工 智能 引擎 ， 可 以 为 用 户 带 来 安全 、 专 业 、 有 效 、 新 颖 的 查 杀 防 护 
体验 。 据 艾 瑞 咨询 数据 显示 ， 截 至 2017 年 11 月 ，360 杀毒 月 度 用 户 量 已 突破 4.2 亿 人 ， 一 
直 稳 居 安全 查 杀 软件 市 场 份额 首位 。 

3) “卡巴 斯 基 

卡巴 斯 基 反 病毒 软件 是 世界 上 拥有 最 尖端 科技 的 杀毒 软件 之 一 ， 总 部 设 在 俄罗斯 首都 
莫斯科 ， 全 名 “卡巴 斯 基 实 验 室 ”， 是 国际 著名 的 信息 安全 领导 厂商 ， 创 始 人 为 俄罗斯 人 
尤 金 ， 卡巴 斯 基 。 该 公司 为 个 人 用 户 、 企 业 网 络 提供 反 病 毒 、 防 黑客 和 反 垃 圾 邮件 产品 。 
经 过 十 几 年 与 计算 机 病毒 的 战斗 ， 卡 巴 斯 基 获得 了 独特 的 知识 和 技术 ， 使 得 卡巴 斯 基 成 为 
病毒 防卫 的 技术 领导 者 和 专家 。 该 公司 的 旗舰 产品 一 一 著名 的 卡巴 斯 基 安 全 软件 ， 主 要 针 
对 家 庭 及 个 人 用 户 ， 能 够 彻底 保护 用 户 计算 机 不 受 各 类 互联 网 威胁 的 侵害 。 


4. 反 病 毒 软件 实例 


在 通常 情况 下 ， 用 户 可 以 免费 到 杀毒 软件 官方 网 站 下 载 试用 版 本 的 反 病 毒 软件 ， 可 以 
免费 升级 一 段 时 间 ， 到 期 后 需要 购买 授权 才能 继续 使 用 。 当 然 也 有 终身 免费 的 杀毒 软件 ， 
如 360 杀毒 。 下 面 就 以 360 杀毒 软件 作为 例子 讲解 如 何 安装 和 使 用 反 病 毒 软件 。 

1) ”安装 

双击 360 杀毒 软件 的 安装 程序 后 按照 向 导 提 示 进 行 即 可 ， 主 要 步 又 包括 同意 安装 许可 
协议 、 选 择 安装 目录 、 确 认 是 否 安装 360 安全 卫士 等 。 

2)” 查 杀 病毒 

运行 360 杀毒 软件 ， 主 要 有 两 种 杀毒 模式 : 全 盘 扫 描 和 快速 扫描 。 其 中 ， 人 全盘 扫 描 是 
扫描 整个 硬盘 内 的 所 有 文件 ， 可 以 较为 彻底 地 清除 病毒 ， 但 所 需 时 间 较 长 ;而 快速 扫描 只 
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扫描 系统 关键 区 域 和 可 执行 程序 等 ， 不 能 彻底 清除 病毒 ， 但 花费 时 间 较 少 。360 杀毒 软件 
还 提供 了 其 他 一 些 功能 ， 如 文件 粉碎 机 、 上 网 加 速 、 软 件 净 化 、 弹 窗 拦截 、 垃 圾 清理 、 进 
程 追踪 等 。 图 1-4 所 示 是 360 杀毒 软件 的 运行 界面 。 


360 杀 误 正 在 保护 您 的 系统 ! 
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图 1-4 360 杀毒 软件 的 运行 界面 


1.3.2 防火墙 技术 


1. 防火 墙 的 概念 


古代 人 们 会 在 房屋 之 间 修 建 一 道 墙 ， 这 道 墙 可 以 防止 发 生火 灾 时 蔓延 到 其 他 房屋 ， 因 
此 被 称 为 防火 墙 。 与 之 类 似 , 计算 机 网 络 中 的 防火 墙 是 在 两 个 网 络 之 间 (如 外 网 与 内 网 之 间 
LAN 的 不 同 子 网 之 间 ) 加 强 访问 控制 的 一 整套 设施 , 可 以 是 软件 、 硬 件 或 者 是 软件 与 硬件 的 
结合 体 。 防 火 墙 可 以 对 内 部 网 络 与 外 部 网 络 之 间 的 所 有 连接 或 通信 按照 预定 的 规则 进行 过 
滤 ， 合 法 的 允许 通过 ， 不 合法 的 不 允许 通 过 ， 以 保护 内 网 的 安全 ， 如 图 1-5 所 示 。 


风险 区 域 (如 \ 一“ 安全 区 域 
Internet) —— (如 LAN) 


防火 墙 





图 1-5 防火 墙 


随 着 网 络 的 迅速 发 展 和 普及 ， 人 们 在 享受 信息 化 带 来 的 众多 好 处 的 同时 ， 也 面临 着 日 
益 突 出 的 网 络 安全 问题 。 事 实证 明 ， 大 多 数 黑 客 入 侵 事 件 都 是 由 于 未 能 正确 安装 防火 墙 造 
成 的 。 

1) ”防火 墙 的 作用 

防火 墙 是 一 种 非常 有 效 的 网 络 安全 模型 ， 通 过 它 可 以 隔离 风险 区 域 和 安全 区 域 。 防 火 
墙 的 基本 功能 主要 表现 在 如 下 几 个 方面 。 

(1) 限制 未 授权 的 外 网 用 户 进 入 内 部 网 络 ， 保 证 内 网 资源 的 私有 性 。 

(2) 过 滤 掉 内 部 不 安全 的 服务 被 外 网 用 户 访问 。 

(3) 对 网 络 攻击 进行 检测 和 告警 。 

(4) 限制 内 部 用 户 访问 特定 站 点 。 
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(5) 记录 通过 防火 墙 的 信息 内 容 和 活动 ， 为 监视 Internet 安全 提供 方便 。 

2) ”防火 墙 的 局 限 性 

值得 注意 的 是 ， 安 装 防火 墙 之 后 并 不 能 保证 内 网 主机 和 信息 资源 的 绝对 安全 ， 防 火 墙 
作为 一 种 安全 机 制 ， 也 存在 以 下 局 限 性 。 

(1) 防火 墙 不 能 防范 恶意 的 知情 者 。 例 如 ， 不 能 防范 恶意 的 内 部 用 户 通 过 磁盘 复制 将 
信息 泄露 到 外 部 。 

(2) 防火 墙 不 能 防范 不 通过 它 的 连接 。 如 果 内 部 用 户 绕 开 防火 墙 和 外 部 网 络 建立 连接 ， 
那么 这 种 通信 是 不 能 受到 防火 墙 保护 的 。 
(3) 防火 墙 不 能 防备 全 部 的 威胁 ， 即 未 知 的 攻击 。 
(4) 防火 墙 不 能 查 杀 病 毒 ， 但 可 以 在 一 定 程度 上 防范 计算 机 受到 蠕虫 病毒 的 攻击 和 
感染 








防火 墙 技术 经 过 不 断 的 发 展 , 已经 具有 了 抗 人 P 假冒 攻击 、 抗 木马 攻击 、 抗 口令 字 攻 击 、 
抗 网 络 安全 性 分 析 、 抗 邮件 诈骗 攻击 的 能 力 ， 并 且 朝 着 透明 接 入 、 分 布 式 防火 墙 的 方向 发 
展 。 但 是 防火 墙 不 是 万 能 的 ， 它 需要 与 防 病毒 系统 和 入 侵 检测 系统 等 其 他 网 络 安全 产品 协 
同 配合 ， 进 行 合 理 分 工 ， 才 能 从 可 靠 性 和 性 能 上 满足 用 户 的 安全 需求 。 

2. 防火 墙 的 分 类 


随 着 防火 墙 的 不 断 发 展 ， 防 火 墙 的 分 类 也 在 不 断 细 化 ， 具 体 分 类 如 下 。 

1) ” 按 原理 不 同 划 分 

防火 墙 从 原理 上 可 以 分 为 包 过 滤 型 防火 墙 、 代 理 防火 墙 、 状 态 检测 防火 墙 和 自 适应 代 
理 防火 墙 。 

(1) 包 过 滤 型 防火 墙 。 包 过 滤 型 防火 墙 在 网 络 层 中 对 数据 包 实施 有 选择 的 通过 ， 根 据 
事先 设置 的 过 滤 规 则 检查 数据 流 中 的 每 个 包 ， 根 据 包 头 信息 来 确定 是 否 允许 数据 包 通 过 ， 
拒绝 发 送 可 疑 的 包 。 包 过 滤 型 防火 墙 工作 在 网 络 层 ， 所 以 又 称 为 网 络 层 防火 墙 。 

网 络 上 的 数据 都 是 以 包 为 单位 进行 传输 的 ， 数 据 在 发 送 端 被 分 割 成 很 多 有 固定 结构 的 
数据 包 ， 每 个 数据 包 包含 包头 和 数据 两 大 部 分 ， 包 头 中 含有 源 地 址 和 目的 地 址 等 信息 。 包 
过 滤 型 防火 墙 读 取 包 头 信息 , 与 信息 过 滤 规 则 进行 比较 , 顺序 检查 规则 表 中 的 每 一 条 规则 ， 
直到 发 现 包头 信 息 与 某 条 规则 相符 。 如 果 有 一 条 规则 不 允许 发 送 某 个 包 ， 则 将 该 包 丢 弃 ; 
如 果 有 一 条 规则 允许 通过 ， 则 将 其 进行 发 送 ， 如 果 没 有 任何 一 条 规则 符合 ， 防 火 墙 就 会 使 
用 默认 规则 ， 一 般 情况 下 ， 默 认 规 则 就 是 禁止 该 包 通 过 。 
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胃 提醒 : 防火 墙 一 般 有 两 种 设计 原则 : 一 是 除非 明确 允许 ， 否 则 就 禁止 ; 二 是 除非 明确 


禁止 ， 否 则 就 允许 。 


常见 的 包 过 滤 路 由 器 是 在 普通 路 由 器 的 基础 上 加 入 IP 过 滤 功 能 而 实现 的 , 因而 也 可 以 
认为 是 一 种 包 过 滤 型 防火 墙 。 现 在 安装 在 计算 机 上 的 软件 防火 墙 如 “天 网 ”等 ) 几 乎 都 采 
用 包 过 滤 的 原理 来 保护 计算 机 安全 。 

(2) 代理 防火 墙 。 所 谓 代 理 就 是 用 专门 的 计算 机 ( 即 代理 服 务 器 , 位 于 内 网 和 外 网 之 间 ) 
蔡 代 网 内 计算 机 与 外 网 通信 ， 由 于 切断 了 内 网 计算 机 和 外 网 的 直接 连接 ， 故 起 到 了 保护 内 
网 安全 的 作用 。 
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代理 的 基本 工作 过 程 是 : 当 内 网 的 客户 机 需要 访问 外 网 服务 器 上 的 数据 时 ， 首 先 将 请 
求 发 送 给 代理 服务 器 ， 代 理 服务 器 根据 这 一 请 求 向 服务 器 索取 数据 ， 然 后 由 代理 服务 器 将 


数据 传输 给 客户 忆 


L。 代 理 服 务 器 通常 有 高 速 缓存 ， 缓 在 中 有 用 户 经 常 访 问 站 点 的 内 容 ， 在 


下 一 个 用 户 要 访问 同样 的 资源 时 ， 服 务 器 就 不 用 重复 地 去 取 同 样 的 内 容 ， 既 节省 了 时 间 ， 





也 节约 了 网 络 资源 。 


(3) 状态 检测 防火 墙 。 状 态 检测 防火 墙 握 弃 了 包 过 滤 型 防火 墙 仅 检查 数据 包 的 卫 地 址 


等 几 个 参数 ， 而 不 


关心 数据 包 连 接 状态 变化 的 缺点 ,在 防火 墙 的 核心 部 分 建立 状态 连接 表 ， 


并 将 进出 网 络 的 数据 当成 一 个 个 会 话 ， 利 用 状态 表 跟 踪 每 一 个 会 话 状态 。 状 态 监 测 对 每 一 
个 包 的 检查 不 仅 根据 规则 表 ， 更 考虑 了 数据 包 是 否 符合 会 话 所 处 的 状态 ， 因 此 提供 了 完整 


的 对 传输 








层 的 控制 


E 力 。 


该 种 防火 墙 由 于 不 需要 对 每 个 数据 包 进行 规则 检查 , 而 是 一 个 连接 的 后 续 数据 包 ( 通 常 
是 大 量 的 数据 包 ) 通 过 散 列 算法 , 直接 进行 状态 检查 ,从 而 使 得 性 能 得 到 了 较 大 提高 ; 而 且 ， 
由 于 状态 表 是 动态 的 ， 因 而 可 以 有 选择 地 、 动 态 地 开通 1024 号 以 上 的 端口 ， 使 得 安全 性 得 
到 进一步 的 提高 。 

(4) 自 适应 代理 防火 墙 。 自 适应 代理 技术 是 一 种 新 颖 的 防火 墙 技术 ， 即 把 包 过 滤 和 代 
理 服务 等 功能 结合 起 来 ， 形 成 新 的 防火 墙 结构 ， 所 用 主机 称 为 堡垒 主机 ， 负 责 代理 服务 。 
在 一 定 程度 上 反映 了 防火 墙 目前 的 发 展 动态 。 该 技术 可 以 根据 用 户 定义 的 安全 策略 ， 动 态 
适应 传送 中 的 分 组 流量 。 如 果 安 全 要 求 较 高 ， 则 安全 检查 应 在 应 用 层 完成 ， 以 保证 代理 防 
火 墙 的 最 大 安全 性 ;一 旦 代理 明确 了 会 话 的 所 有 细节 ， 其 后 的 数据 包 就 可 以 直接 到 达 速 度 
快 得 多 的 网 络 层 。 该 技术 兼备 了 代理 技术 的 安全 性 和 其 他 技术 的 高 效率 。 

2) ” 按 形式 不 同 划分 

防火 墙 系统 从 形式 上 分 为 基于 软件 的 防火 墙 和 硬件 防火 墙 。 基 于 软件 的 防火 墙 价格 便 
宜 ， 易 于 在 多 个 位 置 进行 部 署 ， 不 利 方面 在 于 需要 大 量 的 管理 和 配置 ， 而 且 依赖 于 操作 系 
统 。 硬 件 防 火 墙 的 优点 在 于 都 使 用 专用 的 操作 系统 ， 安 全 性 高 于 基于 软件 的 防火 墙 ， 采 用 
专用 的 处 理 芯 片 和 电路 ， 可 以 处 理 不 断 增加 的 通信 量 ， 处 理 速 度 明 显 高 于 软件 防火 墙 ， 但 
价格 高 于 软件 防火 墙 。 目 前 ， 国 外 比较 著名 的 防火 墙 厂 家 有 Cisco、Juniper、Checkpoint、 
Amaranten 等 ， 国 内 的 主要 有 天 融 信 、 安 氏 、 启 明星 辰 等 品牌 。 

3) ” 按 应 用 范围 不 同 划 分 

防火 墙根 据 应 用 的 范围 不 同 ， 还 分 为 网 络 防火 墙 和 个 人 防火 墙 。 网 络 防火 墙 一 般 是 在 
网 络 边界 布置 ， 实 现 不 同 网 络 的 隔离 与 访问 控制 。 个 人 防火 墙 安装 在 个 人 计算 机 上 ， 用 于 
保护 个 人 计算 机 的 安全 。 


1.3.3 VPN 技术 


1. VPN 概述 


在 传统 意义 上 ， 企 业 是 基于 专用 的 通信 线路 构建 自己 的 Intranet( 一 般 租用 电信 运营 商 
的 广域网 服务 )， 此 种 方法 昂贵 又 缺乏 灵活 性 ， 而 通过 Intemet 直接 连接 各 分 支 机 构 又 缺乏 
足够 的 安全 性 和 可 扩展 性 。VPN 技术 便 在 此 背景 下 诞生 。 

VPN(Virtual Private Network， 虚 拟 专 用 网 络 )， 是 在 公用 网 络 上 (一 般 是 Intemet， 当 然 
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也 不 局 限于 Intemet， 也 可 以 是 ISP 的 也 骨干 网 甚至 是 企业 的 私有 也 骨干 网 ) 建 立 的 企业 
网 络 ， 并 且 此 企业 网 络 拥 有 与 专用 网 络 相 同 的 安全 、 管 理 、 功 能 等 特点 ， 它 蔡 代 了 传统 的 
拨号 访问 ， 利 用 公 网 资源 作为 企业 专 网 的 延续 ， 可 以 节省 昂贵 的 长 途 费 用 。 通 过 公 网 组 建 
的 VPN， 能 够 让 企业 在 极 低 的 成 本 下 得 到 与 私有 网 络 相 同 的 安全 性 、 可 靠 性 和 可 管理 性 。 

2. VPN 的 功能 

总 的 来 讲 ， 用 户 通 过 VPN 可 以 实现 两 大 功能 。 

1) ”远程 接 入 

远程 接 入 用 于 远程 用 户 通 过 公 网 接 入 企业 内 部 网 ， 一 般 通过 拨号 方式 接 入 。 

2) “远程 站 点 互联 

远程 站 点 互联 实现 大 范围 内 不 同 站 点 之 间 的 互联 ， 构 建 超 远 距 离 的 企业 内 部 网 。VPN 
常见 应 用 场景 如 图 1-6 所 示 。 




















图 1-6 ”VPN 常见 应 用 场景 

3. VPN 的 分 类 

就 目前 而 言 ，VPN 的 分 类 方式 比较 混乱 。 不 同 的 生产 厂家 在 销售 它们 的 VPN 产品 时 
使 用 了 不 同 的 分 类 方式 , 主要 是 从 产品 和 协议 的 角度 来 划分 的 。 不 同 的 ISP 在 开展 VPN 业 
务 时 也 推出 了 不 同 的 分 类 方式 ， 主 要 是 从 业务 开展 的 角度 来 划分 的 。 而 用 户 往往 也 有 自己 
的 划分 方法 , 主要 是 根据 自己 的 需求 来 划分 。 下 面 就 简单 介绍 从 协议 的 角度 划分 VPN 的 
方式 s 

按 协议 的 实现 类 型 划分 VPN， 是 VPN 厂商 和 ISP 最 为 关心 的 划分 方式 ， 也 是 目前 最 
通用 的 一 种 划分 方式 。 根 据 分 层 模型 ，VPN 可 以 在 第 二 层 建 立 ， 也 可 以 在 第 三 层 建立 (甚至 
有 人 把 在 更 高 层 的 一 些 安全 协议 也 归 入 VPN 协议 )。 

(1) 第 二 层 隧 道 协议 : 包括 点 到 点 隧道 协议 (PPTP)、 第 二 层 转 发 协议 (L2F)、 第 二 层 隧 
道 协议 (L2TP)、 多 协议 标记 交换 (MPLS) 等 。 

(2) 第 三 层 隧 道 协议 : 包括 通用 路 由 封装 协议 (GRE)、 卫 安全 (IPSec)， 这 是 目前 最 流 
行 的 两 种 三 层 协议 。 

第 二 层 和 第 三 层 隧道 协议 的 区 别 主 要 在 于 用 户 数据 在 网 络 协议 栈 的 第 几 层 被 封装 ， 其 
中 GRE、IPSec 和 MPLS 主要 用 于 实现 专线 VPN 业务 ，L2TP 主要 用 于 实现 拨号 VPN 业 
务 (但 也 可 用 于 实现 专线 VPN 业务 )， 当 然 这 些 协 议 之 间 本 身 并 不 冲突 ， 而 是 可 以 结合 
使 用 。 





























由 旁 了 葛 。 历 终 安 全 更 论 套 友 


1.3.4 链 路 层 安全 技术 


1. ARP 攻击 防护 


ARP 是 早期 网 络 协议 , 缺乏 应 有 的 安全 性 , 因此 目前 利用 ARP 的 缺点 实施 的 攻击 层 出 
不 穷 ， 给 用 户 带 来 了 很 大 的 不 便 和 安全 隐患 。 

ARP 攻击 主要 是 通过 伪造 IP 地 址 和 MAC 地 址 实现 ARP 欺骗 ， 能 够 在 网 络 中 产生 大 
量 的 ARP 通信 量 使 网 络 阻塞 ， 攻 击 者 只 要 持续 不 断 地 发 出 伪造 的 ARP 响应 包 就 能 更 改 目 
标 主 机 ARP 缓存 中 的 卫 -MAC 条 目 ， 造 成 网 络 中 断 或 中 间 人 攻击 。 

ARP 攻击 主要 存在 于 局 域 网 网 络 中 , 局 域 网 中 若 有 一 台 计 算 机 感染 ARP 木马 , 则 感染 
该 ARP 木马 的 系统 将 会 试图 通过 “ARP 欺骗 "手段 截获 所 在 网 络 内 其 他 计算 机 的 通信 信息 ， 
并 因此 造成 网 内 其 他 计算 机 的 通信 故障 。ARP 攻击 的 防范 主要 是 要 形成 正确 的 IP 地 址 和 
MAC 地 址 的 绑 定 关 系 ， 目 前 针对 ARP 攻击 的 技术 层出不穷 ， 不 同 通信 厂商 都 有 相应 的 技 
术 。 主 要 有 以 下 几 种 类 型 : 中 软件 安全 厂商 的 ARP 防火 墙 ， @ 主 流 杀 毒 软件 ，@ 主 流通 信 
厂商 的 技术 。 

例如 ，Cisco 公司 推出 的 Dynamic ARP Inspection(DAD 技 术 ，H3C 公司 推出 的 ARP 
Detection 技术 等 。 

2. 端口 隔离 

端口 隔离 技术 是 为 了 实现 报 文 之 间 的 二 层 隔离 .早期 是 通过 VLAN 技术 实现 二 层 隔离 ， 
即将 不 同 的 端口 加 入 不 同 的 VLAN, 但 这 样 会 浪费 有 限 的 VLAN 资源 。 采 用 端口 隔离 特性 ， 
可 以 实现 同一 VLAN 内 端口 之 间 的 隔离 。 用 户 只 需要 将 端口 加 入 隔离 组 中 ， 就 可 以 实现 
隔离 组 内 端口 之 间 二 层 数据 的 隔离 。 端 口 隔离 功能 为 用 户 提 供 了 更 安全 、 更 灵活 的 组 网 
方案 。 








1.3.5 ”网络 层 安全 技术 


早期 正 协议 被 设计 成 为 在 可 信任 的 网 络 上 提供 通信 服务 。 卫 本 身 只 提供 通信 服务 , 缺 
乏 安 全 性 ， 当 网 络 规模 不 断 扩充 、 越 来 越 不 安全 的 时 候 ， 发 生 窃 听 、 算 改 、 伪 装 等 问 
题 的 概率 就 会 大 大 增加 。 为 此 ， 就 需要 在 网 络 层 提供 一 种 安全 技术 以 弥补 IP 安全 性 差 
的 缺点 。 

IPSec(IP Security)， 即 IP 安全 协议 ， 就 是 一 种 典型 的 网 络 层 安全 保护 机 制 ， 可 以 在 通 
信 节 点 之 间 提 供 一 个 或 多 个 安全 通信 的 路 径 。IPSec 在 网 络 层 对 IP 报 文 提 供 安全 服务 ， 其 
本 身 定义 了 如 何在 下 报 文中 增加 字段 来 保证 了 P 报 文 的 完整 性 、 私 有 性 和 真实 性 ， 以 及 如 
何 加 密 数 据 。IPSec 并 非 单一 的 网 络 协议 ， 它 是 由 一 系列 安全 开放 协议 构成 的 。 它 使 一 个 系 
统 能 选择 其 所 需 的 安全 协议 ， 确 定安 全 服务 所 使 用 的 算法 ， 并 为 相应 的 安全 服务 配置 所 需 
的 密 钥 。 
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1.3.6 ”传输 层 安 全 协议 


1. SSL 协议 的 概念 

安全 套 接 层 协议 (Security Socket Layer，SSL) 是 网 景 (Netscape) 公 司 提出 的 基于 Web 应 
用 的 安全 协议 , 该 协议 向 基于 TCP/IP 的 客户 /服务 器 应 用 程序 提供 客户 端 和 服务 器 的 鉴别 、 
数据 完整 性 及 信息 机 密 性 等 安全 措施 。SSL 协议 位 于 TCP/IP 协议 与 各 种 应 用 层 协 议 之 间 ， 
为 数据 通信 提供 安全 支持 。 

2. SSL 协议 的 功能 

1) ”客户 对 服务 器 的 身份 认证 

在 服务 器 和 客户 机 都 使 用 SSL 协议 的 情况 下 ， 客 户 浏 览 器 可 以 通过 检查 服务 器 的 数字 
证 书 来 确认 服务 器 的 合法 性 。 

2) ”服务 器 对 客户 的 身份 认证 

服务 器 也 可 以 有 选择 性 地 要 求 客户 端 出 示 他 的 数字 证 书 来 核实 客户 的 身份 ，SSL 中 的 
这 个 功能 是 可 选 的 。 

3) ”建立 服务 器 与 客户 端 之 间 安 全 的 数据 通道 

在 SSL 协议 下 ， 客 户 与 服务 器 之 间 所 有 发 送 的 数据 都 是 经 过 加 密 的 ， 可 以 防止 信息 在 
传输 过 程 中 泄露 ， 同 时 可 以 保证 信息 在 传输 过 程 中 的 完整 性 。 

3. SSL 协议 的 工作 原理 

SSL 协议 的 工作 原理 如 图 1-7 所 示 ， 其 基本 过 程 包括 以 下 几 个 方面 。 


客户 机 发 出 安全 会 话 请 求 
里 (HTTPS:/someserver.org/somedata html) U 
理 服务 器 发 送 X509 证 书 ( 包 合 服务 器 的 公用 密 钢 ) 是 

Fa 
客户 端 用 已 知 的 CA 列表 来 认证 证 书 。 
里 多 果 攻 A 划 庆 轴 全 此 用 /. 沈 笃 自 招 风 险 找 苇 天 区 。 ooooooooooooeoeees 


客户 机 生成 随机 对 称 密 铀 ， 并 用 服务 器 的 公用 审 钥 加 审 
也 E 


客户 机 和 服务 器 帮 知道 了 对 称 密 铀 ， 并 用 它 来 加 密会 话 期 间 的 最 终 用 户 数据 者 




















1-7 ”SSL 协议 的 工作 原理 


(1) 客户 机 发 出 访问 服务 器 资源 的 请 求 ， 协 议 为 HITPS( 安 全 超 文本 传输 协议 )。 
(2) 服务 器 返回 服务 器 的 数字 证 书 给 客户 端 ， 数 字 证 书 中 包含 服务 器 的 公 钥 。 





I ERE 


(3) 客户 端 收 到 证 书 ， 通 过 判断 证 书 的 有 效 性 来 推断 服务 器 的 真实 性 。 客 户 端 主要 检 
查 数字 证 书 的 以 下 项 目 。 

Q@ 根据 客户 机 上 的 可 信任 证 书 颁 发 机 构 列表 来 检查 证 书 是 否 由 可 信任 机 构 颁 发 。 

@ 检查 证 书 是 否 在 有 效 期 内 。 

@ 检查 证 书 上 列 出 的 地 址 和 地 址 栏 的 地 址 是 否 





EE 









吻合 区 近 王 格 的 meet 但 该 站 点 
@ 检查 证 书 是 否 已 吊销 (默认 情况 下 不 会 检查 Oasis 
该 项 )。 6 广安 全 证 的 日 期 有 效 。 
如 果 证 书 合法 则 进行 后 续 步骤， 如 果 证 书 有 问题 ， A SetonsnaspTrm. 
则 客户 机 会 给 出 警告 信息 ， 如 图 1-8 所 示 。 ca 
(4) 客户 机 随机 生成 对 称 密 钥 ， 并 用 服务 器 数字 证 es 
书 中 的 公 钥 将 其 加 密 ， 发 送 给 服务 器 。 国生 


(5) 服务 器 收 到 加 密 的 对 称 密 钥 ， 并 用 自己 的 私 钥 
和 解密， 获得 和 客户 机 相同 的 随机 对 称 密 钥 ， 这 样 客户 机 和 服务 器 之 间 的 通信 数据 就 可 以 进 
行 加 密 传输 ， 从 而 形成 一 个 安全 的 数据 通道 。 

SSL 协议 广泛 应 用 于 网 上 银行 、 各 种 账号 (如 电子 邮箱 账号 、 上 网 卡 账号 ) 登 录 等 , 给 用 
户 提 供 了 验证 服务 器 真实 性 的 手段 ， 对 防范 “网 络 钓 鱼 ” 起 到 了 重要 的 作用 ， 也 较 好 地 保 
护 了 用 户 的 账户 信息 不 会 因为 受到 网 络 监听 而 泄露 。 由 于 SSL 技术 已 建立 到 所 有 主要 的 浏 
览 器 和 Web 服务 器 程序 中 ， 因 此 ， 仅 需要 安装 数字 证 书 就 可 以 激活 服务 器 功能 了 。 





1.3.7 ”应 用 层 安全 协议 


1. SIMIME 


S/MIME(Secure Multipurpose Internet Mail Extensions)， 即 安全 的 多 功能 Intemet 电子 邮 
件 扩充 ， 是 在 RFC1521 所 描述 的 多 功能 Intemet 电子 邮件 扩充 报 文 基础 上 添加 数字 签名 和 
加 密 技 术 的 一 种 协议 。MIME 是 正式 的 Intemet 电子 邮件 扩充 标准 格式 , 但 它 未 提供 任何 的 
安全 服务 功能 。S/MIME 的 目的 是 在 MIME 上 定义 安全 服务 措施 的 实施 方式 。S/MIME 已 
成 为 产业 界 广 泛 认 可 的 协议 ， 如 微软 公司 、Netscape 公司 、Novll 公司 、Lotus 公司 等 都 支 
2. HTTPS 


HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)， 是 以 安全 为 目标 的 
HTTP 通道 ， 简 单 讲 是 HTTP 的 安全 版 。 即 在 HTTP 下 加 入 SSL 层 ，HTTPS 的 安全 基础 是 
SSL， 因 此 加 密 的 详细 内 容 就 需要 SSL。 协议 它 是 一 个 URI scheme( 抽 象 标识 符 体系 ), 句法 
类 同 http: 体 系 ， 用 于 安全 的 HTTP 数据 传输 。https:URL 表明 它 使 用 了 HTTP, 但 HTTPS 
存在 不 同 于 HTTP 的 默认 端口 及 一 个 加 密 /身份 验证 层 ( 在 HTTP 与 TCP 之 间 )。 这 个 系统 的 
最 初 研发 由 网 景 公司 (Netscape) 进 行 ， 并 内 置 于 其 浏览 器 Netscape Navigator 中 ， 提 供 了 身 
份 验证 与 加 密 通信 方法 。 现 在 它 被 广泛 用 于 万 维 网 上 安全 敏感 的 通信 ， 如 交易 支付 方面 。 
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3;SET 


SET(secure Electronic Transaction) 即 安全 电子 交易 协议 ， 是 由 威 士 (VISA) 国 际 组 织 、 万 
事 达 (MasterCard) 国 际 组 织 创建 ， 结 合 IBM、Microsoft、GTE 等 公司 制定 的 一 个 电子 商务 
中 安全 电子 交易 的 国际 标准 。 
安全 电子 交易 协议 SET 是 一 种 应 用 于 因特网 (Intemet) 环 境 下 ， 以 信用 卡 为 基础 的 安全 
电子 交付 协议 ， 它 给 出 了 一 套 电子 交易 的 过 程 规 范 。 通 过 SET 协议 可 以 实现 电子 商务 交易 
中 的 加 密 、 认 证 、 密 钥 管 理 机 制 等 ， 保 证 了 在 因特网 上 使 用 信用 卡 进行 在 线 购物 的 安全 。 











1.4 操作 系统 安全 


操作 系统 是 其 他 软件 运行 的 平台 ， 也 是 计算 机 网 络 功能 得 以 发 挥 的 前 提 。 操 作 系统 的 
安全 职能 是 网 络 安全 职能 的 根基 ， 要 有 效 防止 病毒 、 木 马 、 黑 客 等 网 络 威胁 必须 依赖 于 操 
作 系 统 本 身 的 安全 ， 如 果 缺 乏 这 个 安全 的 根基 ， 构 筑 在 其 上 的 应 用 系统 安全 性 将 得 不 到 保 
障 。 本 节 主 要 介绍 Windows 操作 系统 下 的 常用 安全 功能 与 设置 。 


1.4.1 账号 和 组 的 管理 


在 Windows 操作 系统 中 ， 为 了 防止 网 络 或 者 本 地 非法 用 户 登 录 使 用 系统 ， 采 用 了 账号 
安全 机 制 。 用 户 账 号 是 用 来 登录 计算 机 或 通过 网 络 访问 网 络 资源 的 赁 证。 操作 系统 通过 账 
号 来 识别 登录 的 用 户 ， 通 过 密码 来 验证 用 户 ， 只 有 能 够 提供 正确 的 操作 系统 账户 和 密码 的 
用 户 才 能 登录 并 使 用 操作 系统 。 账 号 分 为 自 定义 账号 和 内 置 账号 。 自 定义 账号 可 以 由 计算 
机 管理 员 创建 并 分 配给 不 同 的 用 户 。 内 置 账 号 是 在 安装 操作 系统 过 程 中 自动 创建 的 ， 不 是 
由 计算 机 管理 员 手 动 创建 的 ， 如 系统 管理 员 账 户 Administrator 和 来 宾 账户 Guest。 

组 是 用 户 账户 的 集合 ， 组 的 引入 简化 了 管理 。 通 过 建立 组 ， 可 以 简化 对 大 量 用 户 进行 
管理 和 确定 权限 的 任务 。 操 作 系统 中 的 每 一 个 账户 都 属于 一 个 或 者 多 个 组 ， 并 享受 该 组 相 
应 的 权限 。 如 果 一 个 账户 同时 属于 多 个 组 ， 则 享受 各 组 权限 的 累加 。 类 似 地 ， 组 也 分 为 内 
置 组 和 自 定 义 组 。 

[ 肝 重点 :操作 系统 中 账号 的 创建 。 

1. 本 地 账号 和 组 的 创建 

本 地 用 户 账号 驻 留 在 本 地 计算 机 的 安全 账号 数据 库 中 ， 只 能 用 于 登录 本 地 计算 机 ， 访 
问 本 地 计算 机 上 的 资源 。 只 要 使 用 管理 员 账 号 登录 系统 ， 即 可 创建 账号 和 组 ， 创 建 账号 的 
方法 如 下 : 依次 选择 “开始 ”|“ 设 置 ”|“ 控 制 面板 ”命令 ， 打 开 “ 控 制 面板 ”窗口 ， 单 击 
“管理 工具 ”图 标 ， 然 后 双击 “计算 机 管理 ”图 标 ， 单 击 “ 本 地 用 户 和 组 ”选项 ， 右 击 “ 用 
户 ” 选 项 ， 在 弹出 的 快捷 菜单 中 选择 “新 用 户 ” 命 令 ， 打 开 如 图 1-9 所 示 的 对 话 框 ， 输 入 
用 户 名 和 密码 等 信息 ， 单 击 “ 创 建 ”按钮 即 可 。 

组 的 创建 和 账号 的 创建 类 似 ， 右 击 “ 组 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 组 


















































由 劳 了 葛 。 友 终 安 全 更 论 雁 友 


命令 ， 打 开 如 图 1-10 所 示 的 对 话 框 ， 输 入 组 名 ， 并 添加 组 的 成 员 ， 单 击 “ 创 建 ”按钮 即 可 。 
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图 1-9 “新 用 户 ” 对 话 杠 图 1-10 “新 建 组 ”对 话 框 


2. 常见 的 内 置 组 

在 默认 情况 下 ，Windows 操作 系统 创建 了 一 系列 内 置 组 ， 并 事先 为 这 些 内 置 组 定义 了 
一 组 执行 系统 管理 任务 的 权利 ， 管 理 员 可 以 将 用 户 加 入 指定 的 内 置 组 ， 用 户 将 获得 该 组 所 
有 的 管理 特权 ， 从 而 简化 系统 管理 。 管 理 员 可 以 重 命名 内 置 组 ， 修 改组 成 员 ， 但 不 能 删除 
内 置 组 。Windows 有 以 下 常用 组 。 

(1) Administrators( 管 理 员 组 )。 该 组 成 员 对 计算 机 或 域 有 不 受 限制 的 完全 访问 权 ， 可 
执行 所 有 系统 管理 任务 ， 可 创建 /删除 用 户 和 组 ， 修 改组 成 员 ， 设 置 系统 属性 ， 关 闭 系统 ， 
修改 资源 访问 权限 等 。 

(2) Power Users( 高 级 用 户 组 )。 该 组 成 员 可 以 创建 、 删 除 或 修改 本 地 用 户 和 组 ， 管 理 
和 维护 本 地 组 成 员 的 资格 , 但 不 能 修改 Administrators 组 成 员 的 资格 ， 可 创建 和 删除 共享 文 
件 夹 。 

(3) Users( 一 般 用 户 组 )。 默认 权限 不 允许 成 员 修改 操作 系统 的 设置 或 其 他 用 户 的 数据 。 

(4) Guests( 来 宾 用 户 组 )。 权 限 很 小 ， 默 认 没有 启用 。 

Windows 中 还 有 其 他 一 些 内 置 组 ， 这 里 不 再 做 介绍 。 








1.4.2 NTFS 文件 系统 


1. NTFS 文件 系统 概述 


操作 系统 中 负责 管理 和 存储 文件 信息 的 软件 机 构 称 为 文件 管理 系统 ， 简 称 文件 系统 。 
文件 系统 由 三 部 分 组 成 : 与 文件 管理 有 关 的 软件 、 被 管理 的 文件 以 及 实施 文件 管理 所 需 的 
数据 结构 。 从 系统 角度 来 看 ， 文 件 系统 是 对 文件 存储 器 空间 进行 组 织 和 分 配 ， 负 责 文件 的 
存储 并 对 存 入 的 文件 进行 保护 和 检索 的 系统 。 具 体 地 说 ， 它 负责 为 用 户 建立 文件 ， 存 入 、 
读 出 、 修 改 、 转 储 文件 ， 控 制 文件 的 存 取 ， 当 用 户 不 再 使 用 时 撤销 文件 等 。NTEFS (New 
Technology File System) 是 Windows NT 操作 环境 和 Windows NT 高 级 服务 器 网 络 操作 系 
统 环境 的 文件 系统 , 是 微软 公司 为 NT 内 核 的 操作 系统 所 开发 的 一 种 高 安全 性 的 文件 系统 ， 
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在 后 来 的 微软 Windows XP、Windows Vista、Windows 7 等 桌面 操作 系统 以 及 Windows 
Server 2000、Windows Server 2003、Windows Server 2008 等 服务 器 操作 系统 中 均 使 用 了 
NTFS 文件 格式 。 














2. NTFS 下 的 文件 访问 控制 


在 传统 的 FAT 和 FAT32 文件 系统 下 ， 只 要 能 够 登录 操作 系统 ， 不 管 什么 样 的 账号 者 
能 对 分 区 的 任何 数据 进行 完全 访问 ， 带 来 了 很 大 的 安全 隐患 。 而 NTFS 文件 系统 可 以 针对 
同一 目录 或 文件 给 不 同 的 账号 分 配 不 同 的 访问 权限 ， 这 种 安全 控制 体现 在 两 个 层次 上 : 一 
是 谁 可 以 访问 ， 二 是 可 以 进行 怎样 的 访问 (如 读 取 、 写 入 、 修 改 还 是 完全 控制 )。 

例如 ， 计 算 机 中 有 两 个 账号 zjj 和 zs， 若 某 NTFS 分 a 
区 下 有 一 个 目录 是 属于 zj 用 户 私有 的 , 不 允许 zj 之 外 的 。 | 
任何 用 户 访问 (无 论 是 本 地 登录 还 是 远程 登录 )， 则 系统 管 ee 
理 员 可 以 设置 访问 控制 列表 , 操作 如 下 : 右 击 目录 ， 选择 

















“属性 ”命令 ,进入 “隐私 属性 ”对 话 框 , 切换 到 “安全 ” I 
选项 卡 ， 如 图 1-11 所 示 ， 可 以 看 到 与 该 目录 有 关 的 所 有 Pa EE 
账号 和 组 的 列表 ， 将 不 相关 的 账号 和 组 删除 ， 添 加 夺 ， 写 3 
并 选中 将 要 赋予 区 的 具体 权限 ， 单 击 “ 应 用 ”按钮 。 这 | | 可 中 8 


样 设置 之 后 ， 只 有 zjj 账号 可 以 访问 ， 且 只 能 读 取 ， 而 不 RAR ER | 
能 修改 和 删除 。 GC 
3. NTFS 下 的 加 密 技术 


EFS(Encrypting File System, 加 密 文件 系统 ) 是 微软 公 
司 开发 的 用 于 NTFS 文件 系统 中 保护 数据 机 密 性 的 一 种 技术 。 对 于 NTFS 卷 上 的 文件 和 数 
据 ， 都 可 以 直接 加 密 保存 ， 在 很 大 程度 上 提高 了 数据 的 安全 性 。EFS 的 功能 特征 主要 体现 
在 以 下 几 个 方面 。 

(1) 保护 数据 的 机 密 性 ， 即 使 硬盘 被 盗 或 者 操作 系统 被 恶意 重新 安装 ， 仍 能 受到 加 密 
保护 ， 即 能 够 提供 脱离 于 操作 系统 的 安全 性 。 

(2) 只 有 上 有 具有 EFS 证 书 的 人 才能 对 被 加 密 的 文件 进行 读 取 和 操作 (如 复制 移动 、 修 改 )， 
否则 不 能 对 加 密 文件 进行 复制 和 读 取 ， 但 是 可 以 重 命 名 和 删除 文件 。 

(3) 文件 所 有 者 对 加 密 文件 操作 是 透明 的 。 

由 于 文件 所 有 者 具有 访问 权限 ， 在 对 加 密 文件 进行 访问 时 ， 和 访问 没有 经 过 加 密 的 文 
件 没有 区 别 ( 虽 然 解 密 的 过 程 很 复杂 ， 但 是 用 户 感觉 不 到 这 种 区 别 )， 不 需要 输入 密码 或 者 
产生 其 他 的 多 余 操 作 。 

加 密 文件 的 操作 如 下 : 右 击 文件 夹 ， 选 择 “ 属 性 ”命令 ,打开 “隐私 属性 ”对 话 框 ， 
切换 到 “常规 ”选项 卡 ， 单 击 “ 高 级 ”按钮 ， 打 开 “ 高 级 属性 ”对 话 框 ， 选 中 “加 密 内 容 
以 便 保护 数据 ” 复 选 框 ， 如 图 1-12 所 示 。 
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1-11 NTFS 下 的 文件 访问 控制 











3 提醒 : 对 文件 加 密 之 后 ， 最 好 能 对 EFS 证 书 进 行 备份 ， 否 则 重 装 系统 之 后 会 导致 私 钥 


丢失 ， 使 文件 无 法 访问 而 作废 。 
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1-12” EFS 加密 操作 
1.4.3 Windows 安全 设置 


Windows 作为 目前 最 常用 的 操作 系统 ， 不 仅仅 用 于 家 庭 和 办 公 和 领域 ， 也 广泛 用 于 搭建 
各 种 服务 器 ， 所 以 Windows 经 常 成 为 黑客 攻击 的 首要 目标 。 作 为 Windows 用 户 ， 应 该 通 
过 合理 设置 操作 系统 来 达到 安全 防范 的 目的 。 下 面 给 出 几 个 提高 Windows 安全 性 的 措施 ， 
主要 适用 的 操作 系统 包括 Windows 2000 专业 版 和 服务 器 版 Windows XP 专业 版 、Windows 
Sever 2003 标准 版 和 企业 版 、Windows Server 2008 各 版 本 等 。 


1. 合理 设 定 组 策略 





组 策略 给 用 户 提供 了 一 个 自 定 义 操作 系统 的 手段 ， 虽 然 修改 组 策略 事实 上 和 修改 注册 
表 项 的 效果 差不多 ， 但 是 组 策略 使 用 了 更 完善 的 管理 组 织 方法 ， 可 以 对 各 种 对 象 中 的 设置 
进行 管理 和 配置 ， 远 比 手 工 修改 注册 表 方 便 、 灵 活 ， 功 能 也 更 加 强大 。 

打开 组 策略 编辑 器 的 方法 是 : 依次 选择 “开始 ” |“ 运行 ”命令 ， 在 “运行 ”对 话 框 中 
输入 gpeditmsc， 按 Enter 键 即 可 看 到 如 图 1-13 所 示 的 “组 策略 编辑 器 ”窗口 。 
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图 1-13 “组 策略 编辑 器 ”窗口 
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在 组 策略 编辑 器 中 ， 以 层次 方式 列 出 了 多 种 设置 项 目 ， 通 过 展开 “Windows 设置 ”| 
“安全 设置 ”项 目 ， 可 以 看 到 “账户 策略 ”“ 审 核 策略 ”“ 用 户 权限 分 配 ”“ 安 全 选项 ” 
等 和 网 络 安全 相关 的 项 目 ， 其 中 “账户 策略 ”中 可 以 启用 密码 必须 符合 安全 性 要 求 、 账 户 
锁定 等 内 容 ， “审核 策略 ”可 以 使 计算 机 以 事件 日 志 的 方式 记录 计算 机 的 启动 和 运行 的 相 
关 信 息 , 即使 是 黑客 的 攻击 行为 , 往往 也 会 在 日 志 中 留 下 蛛丝马迹 , 相当 于 是 计算 机 的 “ 黑 
匣子 ”; “安全 选项 ”下 可 以 设置 众多 的 安全 项 目 ， 由 于 每 个 项 目 都 有 详细 的 阐述 ， 这 里 
不 再 一 一 介绍 。 

2. 取消 默认 共享 

在 Windows 2000/2003/2008 系统 中 ， 逻辑 分 区 与 Windows 目录 默认 为 共享 状态 , 这 是 
为 管理 员 方 便 管 理 服务 器 设置 的 ， 但 却 成 为 别有用心 之 徒 乘 虚 而 入 的 安全 漏洞 。 如 果 是 个 
人 计算 机 ， 建 议 将 默认 共享 删除 ， 这 可 以 提高 硬盘 数据 的 安全 性 。 删 除 默认 共享 可 以 采用 
命令 实现 ， 如 NET SHARE CS$ /DELETE 表示 删除 C 盘 的 默认 共享 。 类 似 地 ， 删 除 其 他 盘 
的 默认 共享 也 采用 相同 的 命令 。 可 以 用 批 处 理 来 实现 对 多 个 分 区 默认 共享 的 删除 ， 建 立 好 
批 处 理 文件 后 ， 将 该 批 处 理 文件 放 入 系统 的 “启动 ”文件 夹 下 ， 则 可 以 保证 计算 机 运行 时 ， 
默认 共享 被 关闭 。 


















































全 技巧 : 取消 默认 共享 还 可 以 通过 修改 注册 表 ( 运 行 regedit) 的 键 值 来 实现 : 在 HKEY_ 


LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 
里 新 增 或 修改 AutoShareServer 键 的 键 值 为 0 (类 型 为 DWORD)。 
3. 采用 NTFS 文件 系统 
如 前 所 述 ，NTEFS 文件 系统 是 Windows 系统 迄今 为 止 最 为 先进 和 安全 的 文件 系统 ， 可 
以 实现 对 文件 和 文件 夹 进行 访问 控制 、 加 密 、 访 问 审核 等 很 多 高 级 功能 。 
4. 安装 最 新 的 系统 补丁 (Service Pack) 与 更 新 (Hotfix) 程 序 
大 量 系统 入 侵 事 件 是 因为 用 户 没 有 及 时 地 安装 系统 的 补丁 。 管 理 员 重要 的 任务 之 一 是 
更 新 系统 ,保证 系统 安装 了 最 新 的 补丁 。 应 及 时 下 载 并 安装 补丁 包 , 修补 系统 漏洞 .Microsoft 
公司 提供 了 两 种 类 型 的 补丁 : Service Pack 和 Hotfix。 
1) Service Pack 
Service Pack 是 一 系列 系统 漏洞 的 补丁 程序 包 , 最 新 版 本 的 Service Pack 包括 以 前 发 布 
的 所 有 Hotfix。 微 软 公司 建议 用 户 安装 最 新 版 本 的 Service Pack。 
2) Hotfix 
Hotfix 通常 用 于 修补 某 个 特定 的 安全 问题 ， 一 般 比 Service Pack 的 发 布 更 为 频繁 。 微 
软 采 用 安全 通知 服务 来 发 布 安全 公告 。 


3 提醒 : Automatic Updates( 自 动 更 新 ) 服 务 是 一 种 有 预见 性 的 “ 拉 ” 服 务 ， 可 以 自动 下 载 


和 安装 Windows 升级 补丁 ， 例 如 重要 的 操作 系统 修补 和 Windows 安全 性 升级 
补丁 。 
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5. 安装 性 能 良好 的 杀毒 软件 


用 户 对 于 病毒 和 木马 的 防范 主要 还 是 依靠 杀毒 软件 来 实现 。 装 好 杀毒 软件 之 后 要 注意 
实时 监控 功能 是 否 能 正常 工作 ， 否 则 基本 上 起 不 到 保护 作用 ， 此 外 要 定期 更 新 杀毒 软件 。 


6. 安装 并 正确 设置 防火 墙 
防火 墙 不 仅 能 防范 黑客 的 攻击 ， 也 可 以 阻止 蠕虫 病毒 的 传播 。 
7. 即时 备份 操作 系统 


由 于 使 用 计算 机 的 过 程 中 ， 会 经 常 遇 到 病毒 或 者 黑客 的 攻击 ， 导 致 计算 机 操作 系统 受 
损 而 不 能 正常 使 用 ， 为 了 能 在 出 现 故障 后 迅速 恢复 系统 ， 需 要 将 系统 备份 ， 即 在 系统 正常 
的 时 候 对 其 制作 一 个 副本 存放 于 其 他 分 区 ， 待 系统 受 损 后 利用 副本 快速 地 还 原 系统 。 对 系 
统 进行 备份 推荐 使 用 美国 赛 门 铁 克 公 司 所 开发 的 Ghost。 











本 章 小 结 


本 章 概要 性 地 介绍 了 网 络 安全 的 基本 理论 知识 ， 主 要 内 容 包 括 计算 机 病毒 及 防范 、 防 
火 墙 技术 、 现 代 信 息 认证 技术 、 操 作 系统 安全 四 大 部 分 ， 通 过 相对 独立 的 四 部 分 阐述 ， 希 
望 读者 能 够 对 网 络 安全 的 知识 体系 有 一 个 概要 性 的 认识 。 除 此 之 外 ， 读 者 通过 本 章 的 学 习 
应 能 学 会 病毒 防护 软件 和 防火 墙 的 安装 与 配置 等 ， 借 助 这 些 工 具 来 提高 计算 机 的 安全 性 。 








第 2 章 网 络 访问 控制 技术 


教学 目标 

以 各 实 训 任务 的 内 容 和 需求 为 背景 ， 以 完成 企业 园区 网 的 各 种 网 络 访问 控制 技术 为 实 
训 目 标 ， 通 过 任务 方式 由 浅 入 深 地 模拟 网 络 访问 控制 技术 的 典型 应 用 和 实施 过 程 ， 以 帮助 
学 生理 解 网 络 访问 控制 技术 的 典型 应 用 ， 具 备 企业 园区 网 网 络 访问 控制 的 实施 和 灵活 应 用 
能 力 。 


任务 要 点 关联 知识 
(1) 掌 握 交 换 机 基础 配置 (交换 机 基础 及 配置 命令 
(2) 掌 握 VLAN 基础 配置 (2)VLAN 的 划分 与 配置 命令 
企业 网 基本 访问 控制 ”| (3) 掌 握 单 辟 路 由 配置 (3) 单 臂 路 由 基础 及 配置 命令 


(4) 掌 握 基本 访问 控制 列表 配置 (4) 访 问 控制 列表 技术 基础 

(5) 掌 握 FTP 服务 器 配置 (5) 基 本 访问 控制 列表 基础 及 配置 命令 
(1) 掌 握 高 级 访问 控制 列表 技术 

CO) 掌 握 WWW 站 点 搭建 

(3) 通 过 高 级 访问 控制 列表 技术 实现 网 
络 资源 精细 化 控制 


企业 网 高 级 访问 控制 (DD 高 级 访问 控制 列表 基础 及 配置 命令 





重点 难点 


交换 机 基础 配置 。 

交换 机 VLAN 技术 。 

单 避 路 由 配置 。 

基本 访问 控制 列表 配置 。 

高 级 访问 控制 列表 配置 。 

访问 控制 列表 配置 注意 事项 与 原则 。 


2.1 任务 1: 企业 网 基本 访问 控制 


2.1.1 基本 ACL 任务 描述 


某 公 司 有 两 个 部 门 : 市 场 部 和 产品 部 。 该 公司 构建 了 一 台 文件 服务 器 ， 该 文件 服务 器 
上 存储 了 大 量 的 市 场 相关 信息 ， 非 常 重要 ， 只 允许 该 公司 的 市 场 部 员工 访问 ， 而 产品 部 员 
工 不 能 访问 ， 并 要 求 两 个 部 门 之 间 能 相互 通信 ， 请 你 规划 并 实施 网 络 。 该 公司 的 组 织 结构 
如 图 2-1 所 示 。 
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图 2-1 公司 的 组 织 结构 


2.1.2 基本 ACL 任务 目标 与 目的 


1. 任务 目标 
针对 该 公司 的 网 络 需求 ， 设 置 基 本 的 网 络 访问 控制 ， 以 实现 对 网 络 资源 的 访问 控制 。 
2. 任务 目的 


通过 本 任务 进行 路 由 器 的 基本 配置 、 基 本 访问 控制 列表 (ACL) 配 置 ， 以 帮助 读者 深入 
了 解 路 由 器 的 配置 方法 、 基 本 ACL 配置 方法 ， 具 备 灵 活 运 用 基本 ACL 技术 提高 网 络 安全 
性 的 能 力 。 


2.1.3 基本 ACL 任务 需求 与 分 析 


1. 任务 需求 

该 公司 办 公 区 共有 两 个 部 门 : 市 场 部 和 产品 部 。 每 个 部 门 配置 不 同 数量 的 计算 机 。 网 
络 须 满足 几 个 需求 : 采用 当前 主流 技术 构建 网 络 ， 部 门 内 部 能 实现 相互 通信 ， 要 求 网 络 具 
有 较 高 的 可 管理 性 、 安 全 性 ， 部 门 之 间 都 能 实现 相互 访问 ; 并 要 求 只 有 市 场 部 员工 能 访问 
FTP 服务 器 ， 而 产品 部 员工 不 能 访问 FTP 服务 器 。 公 司 办 公 区 具体 的 计算 机 分 布 如 表 2-1 
所 示 。 


40 产品 部 


计算 机 数量 














需求 1: 采用 当前 主流 技术 构建 网 络 ， 部 门 内 部 能 实现 相互 通信 ， 具 有 较 高 的 可 管理 








分 析 1: 采用 交换 式 以 太 网 技术 构建 网 络 ， 利 用 VLAN 技术 将 相同 部 门 划 入 相同 的 
VLAN,， 不 同 部 门 划 分 为 不 同 的 VLAN。 
需求 2: 不 同 部 门 之 间 能 相互 通信 。 
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分 析 2: 利用 路 由 器 单 璧 路 由 技术 实现 部 门 之 间 相互 通信 。 

需求 3: 市 场 部 能 够 访问 文件 服务 器 ， 产 品 部 不 能 访问 文件 服务 器 FTP。 

分 析 3: 利用 基本 访问 控制 技术 拒绝 产品 部 员工 访问 文件 服务 器 FTP。 

根据 任务 需求 和 需求 分 析 ， 组 建 公司 办 公 区 的 网 络 结构 ， 如 图 2-2 所 示 ， 每 个 部 门 以 
一 台 计 算 机 表示 。 








FTP 服 务 器 





Cl ql 
市 场 部 


> 
产品 部 


2-2 ”公司 办 公 区 的 网 络 结构 


2.1.4 基本 ACL 知识 链接 


1. 交换 技术 


局 域 网 交换 技术 是 在 传统 的 以 太 网 技术 的 基础 上 发 展 而 来 的 。 随 着 局 域 网 范围 的 扩大 
和 网 络 通信 技术 的 发 展 , 目前 在 企业 网 络 中 以 太 网 交换 技术 是 网 络 发 展 中 非常 活跃 的 部 分 ， 
交换 技术 在 局 域 网 中 处 于 非常 重要 的 地 位 。 

局 域 网 交换 技术 是 OSI 参考 模型 中 的 第 二 层 一 一 数据 链 路 层 (Data Link Layer) 上 的 技 
术 ， 所谓“ 交换 ”， 实 际 上 就 是 指 转发 数据 帧 (frame)。 实 现 交换 技术 的 网 络 设备 就 是 以 太 网 
交换 机 (Switch)。 

2. 虚拟 局 域 网 


VLAN(Virtual Local Area Network), 即 虚拟 局 域 网, 是 一 种 通过 将 局 域 网 内 的 设备 逻辑 
地 而 不 是 物理 地 划分 成 一 个 个 网 段 从 而 实现 虚拟 工作 组 的 技术 ， 这 些 网 段 内 的 机 器 有 着 共 
同 的 需求 并 与 物理 位 置 无 关 ， 如 图 2-3 所 示 。IEEE 于 1999 年 颁布 了 用 以 标准 化 VLAN 实 
现 方案 的 802.1Q 协议 标准 草案 。 

VLAN 是 为 解决 以 太 网 的 广播 问题 和 安全 性 而 提出 的 一 种 协议 ， 它 在 以 太 网 帧 的 基础 
上 增加 了 VLAN 头 ， 用 VLAN ID 把 用 户 划 分 为 更 小 的 工作 组 ， 每 一 个 VLAN 都 有 一 个 明 
确 的 标识 符 即 VLAN ID 号 , 限制 不 同 工 作 组 间 的 用 户 二 层 互 访 , 每 个 工作 组 就 是 一 个 虚拟 
局 域 网。 虚拟 局 域 网 的 好 处 是 可 以 限制 广播 范围 ， 并 能 够 形成 虚拟 工作 组 ,动态 管理 网 络 ， 
并 能 进一步 结合 人 P 技术 实现 三 层 交 换 功 能 。 
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2-3 ”VLAN 结构 示意 


VLAN 其 实 只 是 局 域 网 给 用 户 提供 的 一 种 服务 ， 对 用 户 而 言 是 透明 的 ， 并 不 是 一 种 新 
型 的 局 域 网 。 

VLAN 可 以 根据 具体 的 网 络 结构 选择 合适 的 VLAN 类 型 来 构造 虚拟 局 域 网 ， 在 划分 方 
法 和 功能 上 这 些 类 型 也 有 所 差别 。 

1) ”基于 端口 的 VLAN 

顾名思义 ,基于 端口 的 VLAN 就 是 明确 指定 各 端口 属于 哪个 VLAN 的 设 定 方法 。 基 于 
端口 的 VLAN 的 划分 简单 、 有 效 ， 但 其 缺点 是 当 用 户 从 一 个 端口 移动 到 另 一 个 端口 时 ， 网 
络 管理 员 必 须 对 VLAN 成 员 进 行 重新 配置 。 这 是 最 常 应 用 的 一 种 VLAN 划分 方法 , 目前 绝 
大 多 数 VLAN 协议 的 交换 机 都 提供 这 种 VLAN 配置 和 划分 方法 ， 如 图 2-4 所 示 。 


VLAN Table 
[no Po | 








VLAN 10 VLAN 20 


图 2-4 基于 端口 的 VLAN 


2) 基于 MAC 的 VLAN 

这 种 划分 VLAN 的 方法 是 根据 每 个 主机 的 MAC 地 址 来 划分 ， 将 特定 MAC 地 址 划分 
相应 VLAN， 它 实现 的 机 制 就 是 每 一 块 网 卡 都 对 应 唯一 的 MAC 地 址 ，VLAN 交换 机 跟踪 
属于 VLAN MAC 的 地 址 。 这 种 方式 的 VLAN 人 允许 网 络 用 户 从 一 个 物理 位 置 移动 到 另 一 个 
物理 位 置 时 ， 自 动 保留 其 所 属 VLAN 的 成 员 身 份 ， 如 图 2-5 所 示 。 

3) “基于 子 网 的 VLAN 

根据 主机 所 属 的 IP 子 网 来 划分 VLAN， 即 对 每 个 IP 子 网 的 主机 都 配置 属于 哪个 组 ， 
无 论 节点 处 于 哪 一 个 物理 网 段 , 都 可 以 以 它们 的 了 P 地 址 为 基础 或 根据 报 文 协议 的 不 同 来 划 
分 子 网 ， 如 图 2-6 所 示 ， 这 使 网 络 管理 和 应 用 变 得 更 加 方便 。 
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图 2-5 基于 MAC 的 VLAN 图 2-6 基于 子 网 的 VLAN 


4) ”基于 协议 的 VLAN 

VLAN 按 网 络 层 协 议 来 划分 , 可 以 分 为 人 P、IPX、DECnet、 AppleTalk、Banyan 等 VLAN 
网 络 。 这 种 按 网 络 层 协 议 来 组 成 的 VLAN， 可 使 广播 域 跨越 多 个 VLAN 交换 机 。 这 种 方法 
的 优点 是 若 用 户 的 物理 位 置 改 变 了 ， 不 需要 重新 配置 所 属 的 VLAN， 而 且 可 以 根据 协议 类 
型 来 划分 VLAN， 这 对 网 络 管理 者 来 说 很 重要 。 还 有 ， 这 种 方法 不 需要 附加 帧 标签 来 识别 
VLAN， 这 样 可 以 减少 网 络 的 通信 量 。 这 种 方法 的 缺点 是 效率 低 ， 因 为 检查 每 一 个 数据 包 
的 网 络 层 地 址 都 需要 消耗 处 理 时 间 。 

3. 单 臂 路 由 


单 辟 路 由 (router-on-a-stick) 是 指 在 路 由 器 的 一 个 接口 上 通过 配置 子 接口 (或 “逻辑 接 
口 ”， 并 不 存在 真正 的 物理 接口 ) 的 方式 , 实现 原来 相互 隔离 的 不 同 VLAN( 虚 拟 局 域 网 ) 之 间 
的 互联 互通 。 

VLAN 能 有 效 分 割 局 域 网 ， 实 现 各 网 络 区 域 之 间 的 访问 控制 。 但 现实 中 ， 往 往 需要 配 
置 某 些 VLAN 之 间 的 互联 互通 。 例 如 ， 将 公司 划分 为 领导 层 、 销 售 部 、 财 务 部 、 人 力 部 、 
科技 部 、 审 计 部 ， 并 为 不 同 部 门 配置 不 同 的 VLAN， 部 门 之 间 不 能 相互 访问 ， 从 而 有 效 地 
保证 了 各 部 门 的 信息 安全 。 但 领导 层 经 常 需要 跨越 VLAN 访问 其 他 各 个 部 门 ， 这 个 功能 前 
由 单 辟 路 由 来 实现 。 

单 辟 路 由 的 优点 是 : 实现 不 同 VLAN 之 间 的 通信 ， 有 助 于 理解 、 学 习 VLAN 原理 和 子 
接口 概念 。 其 缺点 是 ， 容易 成 为 网 络 单 点 故障 ， 配 置 稍 显 复 杂 ， 只 适合 小 型 企业 网 络 。 

4. 访问 控制 列表 (ACL) 技 术 

1) ”访问 控制 列表 的 基本 概念 

访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 ， 其 主要 任务 是 保证 网 络 资源 不 被 非法 使 
用 和 访问 。 它 是 保证 网 络 安全 重要 的 核心 策略 之 一 。 访 问 控制 涉及 的 技术 也 比较 广 ， 包 括 
入 网 访问 控制 、 网 络 权 限 控 制 、 目 录 级 控制 以 及 属性 控制 等 多 种 手段 。 

ACL 技术 是 一 种 基于 包 过 滤 的 流 控制 技术 ， 在 路 由 器 中 被 广泛 采用 。 标 准 访问 控制 列 
表 把 源 地 址 、 目 的 地 址 及 端口 号 作为 检查 数据 包 的 基本 元 素 ， 并 可 以 规定 符合 条 件 的 数据 
包 
业 

















是 否 允许 通过 。ACL 通常 应 用 在 企业 的 出 口 控制 上 ， 通 过 实施 ACL 可 以 有 效 地 部 署 企 
网 络 出 口 策 略 。 随 着 局 域 网 内 部 网 络 资源 的 增加 ,一些 企业 已 经 开始 使 用 ACL 来 控制 对 
局 域 网 内 部 资源 的 访问 能 力 ， 进 而 来 保障 这 些 资源 的 安全 性 。 

ACL 是 应 用 在 路 由 器 接口 的 指令 列表 。 这 些 指令 列表 用 来 告诉 路 由 器 哪些 数据 包 可 以 
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收 、 哪 些 数据 包 需 要 拒绝 。 至 于 数据 包 是 被 接收 还 是 被 拒绝 ， 可 以 由 类 似 于 源 地 址 、 目 的 
地 址 、 端 口号 等 的 特定 指示 条 件 来 决定 。 访 问 控制 列表 从 概念 上 来 讲 并 不 复杂 ， 复 杂 的 是 
对 它 的 配置 和 使 用 。 

使 用 ACL 可 以 实现 对 数据 报 文 的 过 滤 、 策 略 路 由 以 及 特殊 流量 的 控制 。 一 个 ACL 中 
可 以 包含 一 条 或 多 条 针对 特定 类 型 数据 包 的 规则 (ACE)， 这 些 规则 告诉 路 由 器 ， 对 于 与 规 
则 中 规定 的 选择 标准 相 匹配 的 数据 包 是 允许 还 是 拒绝 通过 。 访问 控制 规则 ACE 是 根据 以 太 
网 报 文 的 某 些 字 段 来 标识 以 太 网 报 文 的 ， 这 些 字段 包括 如 下 内 容 。 

二 层 字段 (Layer 2 fields): 48 位 的 源 MAC 地 址 、48 位 的 目的 MAC 地 址 。 

三 层 字 段 (Layer 3 fields): 源 卫 地 址 字段 (可 以 定义 源 瑟 地址 或 对 应 的 子 网 )、 目 的 他 
地 址 字段 (可 以 定义 目的 他 地 址 或 对 应 的 子 网 )。 

四 层 字段 (Layer 4 fields): 可 以 定义 TCP 的 源 端 口 、 目 的 端口 ， 以 及 UDP 的 源 端 口 、 
目的 端口 。 

2) ”访问 控制 列表 的 分 类 

访问 控制 列表 的 类 型 主要 有 以 下 几 种 。 

(1) 标准 IP 访问 控制 列表 ， 也 称 基 本 访问 控制 列表 。 一 个 标准 卫 访问 控制 列表 匹配 
IP 包 中 的 源 地 址 或 源 地 址 中 的 一 部 分 ， 可 以 对 匹配 的 包 采 取 拒 绝 或 允许 两 个 操作 。 编 号 范 
围 从 1 到 99 的 访问 控制 列表 ， 是 标准 他 访问 控制 列表 。 

(2) 扩展 他 访问 控制 列表 ， 也 称 高 级 访问 控制 列表 。 扩 展 下 访问 控制 列表 比 标准 卫 
访问 控制 列表 具有 更 多 的 匹配 项 ， 包 括 协议 类 型 、 源 地 址 、 目 的 地 址 、 源 端口 、 目 的 端口 、 
建立 连接 的 类 型 和 IP 优先 级 等 。 编 号 范围 从 100 到 199 的 访问 控制 列表 ， 是 扩展 他 访问 
控制 列表 。 

(3) 命名 的 下 访问 控制 列表 ， 也 称 用 户 自 定义 的 访问 控制 列表 ， 其 以 列表 名 代 蔡 列表 
编号 来 定义 卫 访问 控制 列表 ， 同 样 包括 标准 和 扩展 两 种 列表 ， 定 义 过 滤 的 语句 与 编号 方式 
相似 。 

H3C 网 络 设备 对 于 访问 控制 列表 的 分 类 如 图 2-7 所 示 。 





访问 控制 列表 的 分 类 数字 序号 的 范围 
基本 访问 控制 列表 2000 一 2999 








扩展 访问 控制 列表 3000 一 3999 


CE 
MP 


2-7”H3C 网 络 设备 对 于 访问 控制 列表 的 分 类 


3) 访问 控制 列表 的 原理 

访问 控制 列表 ， 由 一 系列 规则 构成 ， 通 过 规则 对 进出 的 数据 包 逐 个 过 滤 。ACL 部 署 应 
用 实例 如 图 2-8 所 示 。 

通过 ACL 过 滤 的 数据 包 ， 将 交 由 路 由 器 去 处 理 : 或 丢弃 ， 或 允许 通过 。ACL 必须 应 
用 于 接口 上 ， 可 以 在 每 个 接口 的 出 入 双向 过 滤 (mnbound、Outbound)， 仅 当 数 据 包 经 过 一 个 
接口 时 , 才能 被 此 接口 的 此 方向 的 ACL 过 滤 。 通 过 的 数据 包 , 交 给 路 由 转发 进程 进行 转发 。 
ACL 入 站 包 过 滤 工 作 流 程 如 图 2-9 所 示 。 
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入 方向 过 滤 -二 一 出 方向 过 滤 


人 -J 
EI 
(= < 一半 


出 方向 过 滤 











图 2-9 ACL 入 站 包 过 滤 工 作 流程 
ACL 出 站 包 过 滤 工 作 流 程 如 图 2-10 所 示 。 












Perm 
ES EE 要 
No 
Default Deny 检查 吕 Default Permit 
规则 设 定 ? 


2-10 ”ACL 出 站 包 过 滤 工 作 流 








数据 包 出 站 


潼 洲 车 粮 半 ” 填 潍 谍 舍 寺 坟 到 沼 巴 








由 UL ER 


4) 基本 访问 控制 列表 的 原理 
基本 ACL 只 能 根据 人 P 数据 包 里 的 源 人 P 地 址 对 数据 实施 过 滤 。 基 本 ACL 的 工作 原理 
如 图 2-11 所 示 。 





从 1.1.1.0/24 来 的 数据 包 不 能 通过 
从 2.2.2.0/28 来 的 数据 包 可 以 通过 






分 组 
DA=3.333 SA=1.111 [ 

















DA=3.3.3.3 SA=2221 
分 组 





2-11 基本 ACL 的 工作 原理 


5) ”ACL 部 署 原则 

(1) 每 个 接口 、 每 个 协议 、 每 个 方向 只 允许 配置 一 个 访问 列表 。 这 意味 着 如 果 创 建 了 
IP 访问 列 表 ， 每 个 接口 只 能 有 一 个 入 口 访问 列表 和 一 个 出 口 访问 列表 。 

(2) 任何 时 候 在 访问 列表 中 添加 新 条 目 时 ， 路 由 器 都 把 新 添加 的 条 目 放置 在 列表 的 最 
末尾 。 强 烈 推 荐 用 文本 编辑 器 先 编辑 好 访问 列表 ， 然 后 将 访问 列表 复制 到 命令 行 。 

(3) 不 能 删除 访问 列表 中 的 部 分 内 容 。 如 果 尝 试 这 样 做 ， 将 删除 整个 列表 。 使 用 命名 
访问 列表 时 例外 。 

(4) 除非 在 访问 列表 末尾 有 permit any 命令 ,否则 所 有 和 列表 测试 条 件 不 符合 的 数据 

(5) 先 创建 访问 列表 ， 然 后 将 列表 应 用 到 某 个 接口 。 

(6) 将 标准 的 访问 列表 尽 可 能 地 放置 在 靠近 目的 地 址 的 位 置 。 

(7) 将 扩展 的 访问 列表 尽 可 能 地 放置 在 靠近 源 地 址 的 位 置 。 

(8) 访问 列表 设计 是 为 了 过 滤 通 过 路 由 器 的 流量 ， 但 不 过 滤 路 由 器 自身 产生 的 流量 。 


5. 配置 命令 


路 由 器 的 基本 管理 方式 和 配置 模式 与 交换 机 类 似 ， 请 参照 第 3 章 交换 机 的 配置 模式 和 
配置 命令 。 在 H3C 系列 和 Cisco 系列 路 由 器 上 配置 单 臂 路 由 和 基本 ACL 协议 的 相关 命令 ， 
如 表 2-2 所 示 。 





表 2-2 单 臂 路 由 和 基本 ACL 配置 命令 








动 - 兹 Cisco 系列 设备 
基本 命令 
划分 子 接口 系统 视图 | [H3C]interface Cisco(config)#interface 
GigabitEthernet 0/0.1 并 fastEthernet 0/1.1 
封装 802.1q 协议 ，| 具体 视图 | [H3C-GigabitEthermet0/0.1] 让 Cisco(config-subif)#encapsu 





并 与 特定 vlan 关联 vlan-typ dotlqvid 10 3 lation dot1Q 10 
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续 表 
功能 H3C 系列 设备 Cisco 系列 设备 
配置 视图 基本 命令 配置 模式 基本 命令 
子 接口 卫 参数 具体 视图 | [H3C-GigabitEthernet0/0.1] | 具体 配置 | Cisco(config-subif)#ip 
配置 ip address 192.168.10.254 | 模式 address 192.168.10.254 
255.255.255.0 255.255.255.0 
关闭 子 接口 具体 视图 | [H3C-GigabitEthernet0/0.1] | 具体 配置 | Cisco(config-subif)#shutdown 
shutdown 模式 
重启 子 接口 具体 视图 | [H3C-GigabitEthernet0/0.1] | 具体 配置 | Cisco(config-subify#no 
undo shutdown 模式 shutdown 
使 能 防火 墙 功 能 系统 视图 | [H3C]firewall enable 
创建 基本 ACL 系统 视图 | [H3Clacl number 2000 
创建 规则 具体 视图 | [H3C-acl-basic-2000]rmle 全 局 配置 | Cisco(config)#access-list 1 
0 deny source 192.168.20.0 “| 模式 deny 192.168.10.0 0.0.0.255 
0.0.0.255 
进入 接口 视图 系统 视图 | [H3Clinterface Ethemet 0/] | 全 局 配置 | Cisco(config)#interface 
模式 fastEthernet 0/1 
将 ACL 应 用 到 接 | 具体 视图 | [H3C-Ethernet0/1]firewall 具体 配置 | Cisco(config-if)#ip 
口 出 方向 packet-filter 2000 模式 access-group 1 out 
outbound 











2.1.5 基本 ACL 任务 实施 


1. 实施 规划 


1) 实 训 拓扑 结构 
根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 2-12 所 示 ， 以 PC1、PC2、 
Server 分 别 模拟 公司 的 市 场 部、 产品 部 和 FTP 服务 器 。 


Server:FTP 服 务 器 
192.168.30.2/24 


E0/1:192.168.30.254 
R1 
VLAN 10: E0/0.1 192.168.10.254 
0/0 VLAN 20:E0/0.2 192.168.20.254 


E01/0/: 


VLAN 10:E1/0/1~E1/0/5 
-> VLAN 20:E1/0/6~E1/0/10 
Pe E01/0/® 


LR 
PC1: 市 场 部 VLAN 10 PC2: 内 20 
192.168.10.2/24 192.168.20.2/24 


2-12” 实 训 任 务 拓扑 


一 一 一 潼 浏 芝 折 壮 ” 攻 淋 人 言 村 者 到 招 巴 


© 








册 UUU EPE 


2) “ 实 训 设备 
根据 任务 的 需求 和 实 训 拓扑 ， 每 个 实 训 小 组 的 实 训 设备 配 置 清单 如 表 2-3 所 示 。 


表 2-3 实 训 设备 配置 清单 












设备 类 型 
路 由 器 
交换 机 


H3C MSR20-40 
H3C E126A 
Windows 2003/Windows 7 








3) ”IP 地 址 规划 
根据 需求 分 析 本 任务 的 了 P 地 址 规划 ， 如 表 2-4 所 示 。 


表 2-4 IP 地 址 规划 


| 接口 | IP 地 址 网 关 
| | 192168.102/24 192.168.10.254 
| | 192.168202/24 192.168.20.254 


Server 192.168.30.2/24 192.168.30.254 


Ethernet 0/0.10 192.168.10.254/24 
R1 Ethernet 0/0.20 192.168.20.254/24 
Ethernet 0/1 192.168.30.254/24 





4) ”VLAN 规划 
根据 需求 分 析 本 任务 的 VLAN 规划 ， 如 表 2-5 所 示 。 


表 2-5 VLAN 规划 


部 门 名 称 端口 
市 场 部 [PE | [EvontEo 
产品 部 Elo6toE on0 
2. 实施 步骤 


任务 的 实施 步骤 如 下 。 

(1) 根据 实 训 拓 扑 图 进行 交换 机 、 计 算 机 的 线 缆 连 接 ， 配 置 PC1、PC2、PC3 的 全 地 
址 、 子 网 掩 码 、 默 认 网 关 等 相关 卫 参数 。 

(2) 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ”组 件 程序 通过 串口 连接 到 交换 机 的 
配置 界面 ， 其 中 ， 超 级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 8、 奇 偶 
校 验 无 、 数 据 流 控制 无 )。 

(3) 超级 终端 登录 到 路 由 器 ， 进 行 任务 的 相关 配置 。 

(4) Swl 主要 配置 清单 如 下 。 

-、vlan 配置 : 


<H3C>system-view 




















[H3C]sysname swl 
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[swllvlan 10 
[swl-vlanlOlport Ethemet 1/0/lto Ethemet 1/0/5 
[swl-vlanl0]vlan 20 
[swl-vlan20]port Ethernet 1/0/6to Ethemet 1/0/10 
二 、 上 联 端口 为 trunk 
[swl-vlan20]quit 
[swllinterface Ethernet 1/0/24 
[sw1-Ethernet1/0/24]port link-type trunk 
[swl-Ethermet1/0/24]port trunk permit vlan all 
(5) R 1 主要 配置 清单 如 下 。 

-、 配 置 单 辟 路 由 
<H3C>system-view 
[H3C]sysname rl 
[rllinterface Ethemet 0/0.10 
[rl1-Ethernet0/0.10]ip address 192.168.10.254 24 
[r1-Ethernet0/0.10]vlan-type dotlq vid 10 
[rl1-Ethernet0/0.10]quit 
[rllinterface Ethernet 0/0.20 
[rl1-Ethernet0/0.20]ip address 192.168.20.254 24 
[rl1-Ethernet0/0.20]vlan-type dotlq vid 20 
[rl1-Ethernet0/0.20]quit 
[rllinterface Ethernet 0/1 
[rl-Ethernet0/1]ip address 192.168.30.254 24 
二 、 基 本 访问 控制 列表 配置 
1. 使 能 防火 墙 功能 
[rl]firewall enable 
2. 创建 ACL 
[rllacl number 2000 
3. 创建 规则 
[rl-acl-basic-2000]mle 0 deny source 192.168.20.0 0.0.0.255 /# 拒 绝 来 自 192.168.20.0/24 网 
段 的 数据 通过 

















4. 将 ACL 应 用 到 具体 的 接口 

[rl-acl-basic-2000]quit 

[rllinterface Ethemet 0/1 

[r1-Ethernet0/1]firewall packet-filter 2000 outbound /* 将 访问 控制 列表 2000 应 用 到 e0/1 接口 
出 方向 











(6) FTP 服务 器 搭建 。 
FTP 服务 器 搭建 ， 参 考 其 他 相关 资料 ， 此 处 略 。 


2.1.6 ”基本 ACL 任务 验收 


1. 设备 验收 


根据 实 训 拓扑 图 检查 验收 路 由 器 、 计 算 机 的 线 缆 连接 ， 检 查 PC1、PC2、 文 件 Server 
的 他 地 址 。 
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[swllvlan 10 
[swl-vlanlOlport Ethemet 1/0/lto Ethemet 1/0/5 
[swl-vlanl0]vlan 20 
[swl-vlan20]port Ethernet 1/0/6to Ethemet 1/0/10 
二 、 上 联 端口 为 trunk 
[swl-vlan20]quit 
[swllinterface Ethernet 1/0/24 
[sw1-Ethernet1/0/24]port link-type trunk 
[swl-Ethermet1/0/24]port trunk permit vlan all 
(5) R 1 主要 配置 清单 如 下 。 

-、 配 置 单 辟 路 由 
<H3C>system-view 
[H3C]sysname rl 
[rllinterface Ethemet 0/0.10 
[rl1-Ethernet0/0.10]ip address 192.168.10.254 24 
[r1-Ethernet0/0.10]vlan-type dotlq vid 10 
[rl1-Ethernet0/0.10]quit 
[rllinterface Ethernet 0/0.20 
[rl1-Ethernet0/0.20]ip address 192.168.20.254 24 
[rl1-Ethernet0/0.20]vlan-type dotlq vid 20 
[rl1-Ethernet0/0.20]quit 
[rllinterface Ethernet 0/1 
[rl-Ethernet0/1]ip address 192.168.30.254 24 
二 、 基 本 访问 控制 列表 配置 
1. 使 能 防火 墙 功能 
[rl]firewall enable 
2. 创建 ACL 
[rllacl number 2000 
3. 创建 规则 
[rl-acl-basic-2000]mle 0 deny source 192.168.20.0 0.0.0.255 /# 拒 绝 来 自 192.168.20.0/24 网 
段 的 数据 通过 

















4. 将 ACL 应 用 到 具体 的 接口 

[rl-acl-basic-2000]quit 

[rllinterface Ethemet 0/1 

[r1-Ethernet0/1]firewall packet-filter 2000 outbound /* 将 访问 控制 列表 2000 应 用 到 e0/1 接口 
出 方向 











(6) FTP 服务 器 搭建 。 
FTP 服务 器 搭建 ， 参 考 其 他 相关 资料 ， 此 处 略 。 


2.1.6 ”基本 ACL 任务 验收 


1. 设备 验收 


根据 实 训 拓扑 图 检查 验收 路 由 器 、 计 算 机 的 线 缆 连接 ， 检 查 PC1、PC2、 文 件 Server 
的 他 地 址 。 


潼 洲 芝 所 半 ”车 淋 谷村 者 到 招 巴 





I 站 EE 


2. 配置 验收 
查看 访问 控制 列表 : 


r[rlldisplay acl all 
Basic ACL 2000, named -none-, 1 rule, 


ACL's step is 5 
rule 0 deny source 192.168.20.0 0.0.0.255 (19 times matched) 


3. 功能 验收 





























功能 验收 的 步骤 如 下 。 
(1) 在 PCl1 上 通过 浏览 器 输入 ftp://192.168.30.2， 可 以 正常 访问 ， 如 图 2-13 所 示 。 
ml 

文件 全 ) 搞 狂 下 ) 查看 @) 收 李 人) 工具 人 帮 动 ) E32 

吕 抽 > 避 ” 语 | 门 搜索 忆 文 件 灾 | 二 力 兴 加 | 呈 ” 

ET fa ep: // 192. 163. 30. 2/ EE 

2 | 

Bet tt 0 

同 P: 区 名。 岂 Iotercet 
到 | 古本 国 宁 |[ 鲁 ro:ise ss. 敬 当 
人 


2-13 市 场 部 能 正常 访问 FTP 服务 器 
(2) 在 PC2 上 通过 浏览 器 输入 ftp://192.168.30.2， 则 不 能 正常 访问 ， 如 图 2-14 所 示 。 





EECTOEIEIEIIT 























DR 局 -了 | 万 执 筑 局 义 件 基 | 记 冯 X 四 | 门 ” 
EEC SE 
国 
Y Pe 请 确 坏 纺 入 约 文件 生 是 正 砍 的 ， 
力 二 teraet 
本 | | 阅 加 国名 | 而 fi. 
Ials | 轩 训 


图 2-14 ”产品 部 无 法 正常 访问 FTP 服务 器 


2.1.7 基本 ACL 任务 总 结 


针对 某 公司 办 公 区 网 络 改造 任务 的 内 容 和 目标 ， 根 据 需 求 分 析 进 行 了 实 训 的 规划 和 实 
施 ， 通 过 本 任务 进行 了 路 由 器 基本 访问 控制 列表 ACL 的 配置 实 训 。 
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2.2 任务 2: 企业 网 高 级 访问 控制 


2.2.1 高 级 ACL 任务 描述 


某 公司 有 两 个 部 门 : 市 场 部 和 产品 部 。 该 公司 购买 了 一 台 服 务 器 ， 在 网 络 中 部 署 两 个 
应 用 服务 : WWW 服务 和 FTP 服务 。 从 安全 和 可 管理 角度 考虑 ， 要 求 市 场 部 能 够 访问 FTP 
服务 器 ， 不 能 够 访问 WWW 服务 器 ; 产品 部 能 够 访问 WWW 服务 器 ， 不 能 访问 FTP 服务 
器 ; 并 要 求 两 个 部 门 之 间 能 相互 通信 。 请 你 规划 并 实施 网 络 。 该 公司 的 组 织 结构 如 图 2-15 
所 示 。 





2-15 ”公司 的 组 织 结构 


2.2.2 高 级 ACL 任务 目标 与 目的 


1. 任务 目标 

针对 该 公司 的 网 络 需 求 ， 设 置 高 级 的 网 络 访问 控制 ， 实 现 对 网 络 资源 更 精细 的 访问 
控制 。 

2. 任务 目的 

通过 本 任务 进行 路 由 器 的 基本 配置 、 高 级 访问 控制 列表 (ACL) 配 置 ， 以 帮助 读者 深入 
了 解 路 由 器 的 配置 方法 、 高 级 ACL 配置 方法 ， 有 具备 灵活 运用 高 级 ACL 技术 对 网 络 进行 更 
精细 化 的 控制 以 保证 网 络 安全 的 能 





2.2.3 高 级 ACL 任务 需求 与 分 析 


1. 任务 需求 

该 公司 办 公 区 共有 两 个 部 门 : 市 场 部 和 产品 部 。 每 个 部 门 配置 不 同 数量 的 计算 机 。 网 
络 须 满足 几 个 需求 : 采用 当前 主流 技术 构建 网 络 ， 部 门 内 部 能 实现 相互 通信 ， 要 求 网 络 具 
有 较 高 的 可 管理 性 、 安 全 性 ; 部 门 之 间 都 能 实现 相互 访问 ， 网络 中 部 署 WWW、FTP 两 种 
网 络 应 用 服务 ; 要 求 市 场 部 能 够 访问 FTP 服务器， 不 能 够 访问 WWW 服务 器 ; 产品 部 能 够 





J BEE 
访问 WWW 服务 器 ， 不 能 访问 FTP 服务 器 。 公 司 办 公 区 具体 计算 机 分 布 如 表 2-6 所 示 。 
表 2-6 公司 办 公 区 具体 计算 机 分 布 表 








部 门 计算 机 数量 服务 器 数量 
市 场 部 | 40 1 
产品 部 110 0 
2. 需求 分 析 


需求 1: 采用 当前 主流 技术 构建 网 络 ， 部 门 内 部 能 实现 相互 通信 ， 具 有 较 高 的 可 管理 
性 、 安 全 性 。 
分 析 1: 采用 交换 式 以 太 网 技术 构建 网 络 ， 利 用 VLAN 
技术 将 相同 部 门 划 入 相同 的 VLAN, 不 同 部 门 划分 为 不 同 的 a, 
VLAN。 服务 器 
需求 2: 不 同 部 门 之 间 能 相互 通信 。 
分 析 2: 利用 路 由 器 单 臂 路 由 技术 实现 部 门 之 间 相 互 
通信 。 
需求 3: 市 场 部 能 够 访问 FTP 服 务 器 ,不 能 够 访问 WWW 
服务 器 ; 产品 部 能 够 访问 WWW 服务 器 ， 不 能 访问 FTP 服 








务 器 。 i 详 吕 部 
分 析 3: 利用 高 级 访问 控制 列表 技术 对 网 络 资源 实现 精 
细 化 的 访问 控制 。 网 全 公司 二 全 的 网 和 的 


根据 任务 需求 和 需求 分 析 ， 组 建 公司 办 公 区 的 网 络 结 
构 ， 如 图 2-16 所 示 ， 每 个 部 门 用 一 台 计算 机 表示 。 


2.2.4 高 级 ACL 知识 链接 


1. 高 级 访问 控制 列表 (ACL) 技 术 

1) 访问 控制 列表 的 基本 概念 

访问 控制 列表 ， 由 一 系列 有 顺序 的 规则 组 成 。 这 些 规则 根据 数据 包 的 源 地 址 、 目 的 地 
址 、 端 口号 等 来 定义 匹配 条 件 ， 执 行 permit 或 deny 操作 。ACL 实质 上 是 报 文 识别 技术 ， 
广泛 用 于 需要 识别 报 文 ， 对 报 文 进行 分 类 的 场合 。 访 问 控制 列表 技术 一 般 应 用 场合 如 下 。 

(1) 包 过 滤 防 火 墙 功能 : 用 以 实现 对 访问 的 限制 。 

(2) NAT 技术 : 用 于 制定 规则 ， 确 定 哪些 数据 包 需 要 转换 ， 哪 些 不 需要 。 

(3) QoS 技术 : 用 于 实现 对 数据 分 类 ， 不 同类 型 的 数据 提供 不 同 的 优先 级 服务 。 

(4) 路 由 策略 和 过 滤 : 利用 ACL 规则 匹配 路 由 信息 中 的 相关 参数 ， 以 实现 路 由 过 滤 。 

(5) 按 需 拨号 : 利用 ACL 对 数据 进行 分 类 , 实现 只 有 相应 种 类 的 数据 能 触发 路 由 器 进 
行 PSTN/ISDN 的 拨号 连接 。 

2) ”高 级 访问 控制 列表 的 原理 

高 级 访问 控制 列表 根据 报 文 的 源 卫 地 址 、 目 的 卫 地 址 、 卫 承载 的 协议 类 型 、 协 议 特 
性 等 三 、 四 层 信息 制定 规则 。 高 级 访问 控制 列表 的 实现 原理 如 图 2-17 所 示 。 
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从 1.1.1.0/24 来 ， 到 3.3.3.1 的 TCP 端 口 80 去 的 数据 包 不 能 通过 
从 1.1.1.0124 来 ， 到 2.2.2.1 的 TCP 端 口 23 去 的 数据 包 可 以 通过 

















分 组 
DA=3.3.3.1, SA=1.1.1.1 
TCP. DP=80. SP=2032 














DA=2221.SA=1111 
TCP. DP=23, SP=3176 
分 组 





图 2-17 高 级 访问 控制 列表 的 实现 原理 
2. 配置 命令 
路 由 器 的 基本 管理 方式 和 配置 模式 与 交换 机 类 似 ， 


A 


请 参照 第 3 章 交 


换 机 的 配置 模式 和 


配置 命令 。H3C 系列 和 Cisco 系列 路 由 器 上 高 级 ACL 协议 的 相关 命令 如 表 2-7 所 示 。 


表 2-7 高 级 ACL 配置 命令 
H3C 系列 设备 

























功能。 | 评 半 机 加 配置 模式 
创建 高 级 (扩展 ) 系统 视图 | [H3C]acl advanced 3000 国 畏 
ACL 






创建 规则 具体 视图 | [H3C-acl-adv-3000]mle 
0 deny tcp destination 
192.168.30.2 0.0.0.0 
destination-port eq WwW 
source 192.168.10.0 


0.0.0.255 


0.0.0.0 





Cisco 系列 设备 


Cisco(config)#access-list 
100 deny tcp 192.168.10.0 
0.0.0.255 192.168.30.2 








eq WwW 






进入 接口 视图 


将 ACL 应 用 到 接 
口上 的 入 方向 






系统 视图 






具体 视图 











Cisco(config)#interface 
fastEthernet 0/1 
Cisco(config-if)#ip 
access-group ] in 


[H3Clinterface Ethermet 
0/1 











[H3C-Ethemet0/0.2]firewall | 具体 配 
packet-filter 3000 置 模式 
inbound 


2.2.5 高 级 ACL 任务 实施 


1. 实施 规划 
1)” 实 训 拓 扑 结构 








根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 2-18 所 示 ， 用 PC1、PC2、 





Server 分 别 模拟 公司 的 市 场 部 、 产 品 部 、FTP 和 WWW 服务 器 。 








由 EPE 
Server:192.168.30.2/24 


FTP、WWW 


EDO/1:192.168.30.254 | 


R1 
VLAN 10: E0/0.1 192.168.10.254 
0/0 VLAN 20: E0/0.2 192.168.20.254 


E01/0/2 


Sw: Ee VLAN 10:E1/0/1~E1/0/5 
> VLAN 20:E1/0/6~E1/0/10 
ee ws 


3 
> 

PC1: 市 场 部 VIAN 10 PC2: 产 品 部 VIAN 20 

192.168.10.2/24 192.168.20.2/24 


图 2-18 实 训 的 拓扑 结构 及 网 络 参 数 
2)” 实 训 设 备 
根据 任务 的 需求 和 实 训 拓扑 ， 每 个 实 训 小 组 的 实 训 设 备 配 置 清单 如 表 2-8 所 示 。 
表 2-8 实 训 设备 配置 清单 
设备 类 型 数 量 

路 由 器 
交换 机 
计算 机 
双 绞 线 

3) ”IP 地 址 规划 

根据 需求 分 析 本 任务 的 他 地 址 规划 ， 如 表 2-9 所 示 。 





表 2-9 ”IP 地 址 规划 













192.168.10.2/24 192.168.10.254 


















PC2 192.168.20.2/24 | 192.168.20.254 

Server 192.168.30.2/24 | 192.168.30.254 
Ethernet 0/0.10 192.168.10.254/24 

Routerl Ethernet 0/0.20 192.168.20.254/24 





Ethemet 0/1 





192.168.30.254/24 


4) ”VLAN 规划 
根据 需求 分 析 本 任务 的 VLAN 规划 ， 如 表 2-10 所 示 。 


表 2-10 VLAN 规划 













E 1/0/] to E 1/0/5 
E 1/0/6toE 1/0/10 
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2. 实施 步骤 
(1) 根据 实 训 拓 扑 图 进行 交换 机 、 计 算 机 的 线 缆 连 接 ， 配 置 PC1、PC2、PC3 的 他 地 


址 、 子 网 掩 码 、 默 认 网 关 等 相关 了 P 参数 。 


(2) 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ”组 件 程序 通过 串口 连接 到 交换 机 的 








配置 界面 ， 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 8、 奇 偶 校 
验 无 、 数 据 流 控制 无 )。 





(3) 超级 终端 登录 到 路 由 器 ， 进 行 任务 的 相关 配置 。 
(4) Swl 主要 配置 清单 如 下 。 














、vlan 配置 
<H3C>system-view 
[H3C]sysname swl 
[swllvlan 10 
[swl-vlanlO]lport Ethemet 1/0/lto Ethernet 1/0/5 
[swl-vlanl0]vlan 20 
[swl-vlan20]port Ethernet 1/0/6to Ethernet 1/0/10 
二 、 上 联 端口 为 trunk 
[swl-vlan20]quit 
[swllinterface Ethemet 1/0/24 
[swl1-Ethernet1/0/24]port link-type trunk 
swl-Ethernet1/0/24]port trunk permit vlan all 





(5) Router 1 主要 配置 清单 如 下 。 





-、 配 置 单 臂 路 由 
<H3C>system-view 
[H3C]sysname rl 
[rljinterface Ethemet 0/0.10 
[rl1-Ethernet0/0.10]ip address 192.168.10.254 24 
[rl-Ethernet0/0.10]vlan-type dotlq vid 10 
[rl-Ethermet0/0.10]quit 
[rllinterface Ethemet 0/0.20 
[r1-Ethernet0/0.20]Jip address «192.168.20.254 24 
[rl-Ethernet0/0.20]vlan-type dotlq vid 20 
二 、 配 置 接口 PP 参数 
[rllinterface Ethemet 0/1 
[rl-EthernetO/l]ip address 192.168.30.254 24 
三 、 高 级 访问 控制 列表 配置 
[rl]firewall enable 
[rljacl number 3000 
[rl-acl-adv-3000]rmle 0 deny tcp destination 192.168.30.2 0.0.0.0 destination-port eq Www 
source 192.168.10.0 0.0.0.255 ”/* 拒 绝 来 自 于 190.168.10.0/24 网 段 的 主机 ， 去 访问 卫 地 址 为 
192.168.30.2 的 服务 器 的 www 服务 
[rl-acl-adv-3000]rule 1 deny tcp destination 192.168.30.2 0.0.0.0 destination-porteq ftp 
source 192.168.20.0 0.0.0.255 。” /拒绝 来 自 于 190.168.30.0/24 网 段 的 主机 去 访问 瑟 地 址 为 
192.168.30.2 的 服务 器 的 fp 服务 








由 EPEZDDOBZEES 





四 、 将 ACL 应 用 到 具体 的 接口 

[rl1-acl-adv-3000]quit 

[rllinterface Ethernet 0/0.10 

[r1-Ethernet0/0.10]firewall packet-filter 3000 inbound 
[r1-Ethernet0/0.10]quit 

[rllinterface Ethernet 0/0.20 

[r1-Ethernet0/0.20]firewall packet-filter 3000 inbound 

(6) WWW、FTP 服务 器 搭建 。 

WWW、FTP 服务 器 搭建 参考 其 他 相关 资料 ， 此 处 略 。 





2.2.6 高 级 ACL 任务 验收 


1. 设备 验收 


根据 实 训 拓扑 图 检查 验收 路 由 器 、 计 算 机 的 线 缆 连接 ， 检 查 PC1、PC2、 服 务 器 的 人 
地 址 。 


2. 配置 验收 
查看 访问 控制 列表 : 


[rilldisplay acl 3000 

Advanced ACL 3000, named -none-, 2 rules, 

ACL's step is 5 

rule 0 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.30.2 0 
destination-port eq www (4 times matched) 

rule 1 deny tcp source 192.168.20.0 0.0.0.255 destination 192.168.30.2 0 
destination-port eq ftp (21 times matched) 


3. 功能 验收 

功能 验收 如 下 。 

(1) 在 PC1( 市 场 部 ) 上 通过 浏览 器 输入 ftp:/192.168.30.2， 可 以 正常 访问 ， 如 图 2-19 所 
示 ; 输入 http://192.168.30.2 则 不 能 访问 ， 如 图 2-20 所 示 。 



































EY ftp://192. 168. 30.2/ ~ Wicresoft Internet Erplerer 了 9 芭 | 

文件 到 多 错时 ) 查看 WD 收藏 W) 工具 I) 帮助 0 | 各 | 

OFE -加 -他 | 部 扫 索 汪 文 人 天 | 回 - | 

地 址 0) | 司 ETIIESEESEEZ 可 加 和 WR” 

名 称 ~ | ”大小 | 庄 开 ] 曙 | 

司 闲 建文 件 夹 201 

其 它 位 置 和 加 新 建 RTF 文档 rtf 7 字 节 RTF 格式 201| 

enet me 站 新建 文本 文档 txt 0 字 节 文本 文档 201| 
加 3 文档 
晤 同上 人 3 居 

型 划 

出 户 : 匿名 图 Peermet 由 


2-19 PC1 可 以 访问 FTP 服务 
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您 正在 查 拷 的 机 沁 间 不 可 用 同 站 可 沦 盏 上 示 持 可 是 , 惑 者 从 过 要 调 于 
人 的 光 是 吕 设置 





请 宕 HAT 如 作 : 


。 单 击 四 出 新 控 诅 ,或 移 重 坛 . 
。 如果 怎 已 经 在 二 址 臣 中 辆 入 识 同 机 的 地 址 ， 请 确 以 丰 折 正确 - 
. Pe, 该 了 具 了 地 ， 要 后 tee 

局 己 朵 


CN 服务 供 摧 “CS5D) 拓 代 一 要 - 
。 查看 人 的 Int rre+ 连接 设 和 是 再 正确 闪 测 。 安 可 论 设 于 让 加 | 


EE i EE 4 








图 2-20 PC1 不 能 访问 WWW 服务 


(2) 在 PC2( 产 品 部 ) 上 通过 浏览 器 输入 http://192.168.30.2， 可 以 正常 访问 ， 如 图 2-21 
所 示 ; 输入 ftp:/192.168.30.2， 骨 人 能 正常 访问 ， 如 图 2-22 所 示 。 










FE7Or 四 畴 灼 PR 和 @D' 名 可 "DD | 
交 下 人 W | 必 hu /719e 160 20 2/ 刁 司 # W*> 

























欢迎 您 来 到 四 川 括 普 信息 技术 职业 学 院 ! 
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图 2-22 PC2 不 能 正常 访问 FTP 服务 
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2.2.7 高 级 ACL 任务 总 结 


针对 某 公 司 办 公 区 网 络 改 造 任务 的 内 容 和 目标 ， 根 据 需 求 分 析 进 行 了 实 训 的 规划 和 实 
施 ， 通 过 本 任务 进行 了 路 由 器 高 级 访问 控制 列表 ACL 的 配置 实 训 。 
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第 3 章 局域网 安全 技术 


教学 目标 
通过 对 校园 网 、 企 业 网 等 局 域 网 络 进行 网 络 安 全 的 各 种 案例 实施 ,以 各 实 训 任务 的 内 
容 和 需求 为 背景 ,以 完成 企业 园区 网 的 各 种 局 域 网 安全 技术 为 实 训 目标 , 通过 任务 方式 由 


浅 入 深 地 模拟 局 域 网 安全 技术 的 典型 应 用 和 实施 过 程 , 以 帮助 学 生理 解 局 域 网 安全 技术 的 
典型 应 用 ， 具 备 企业 园区 网 网 络 安全 的 实施 和 灵活 应 用 能 


任务 要 点 能 力 要 求 关联 知识 
bv 
CD 掌握 交换 机 基础 配置 (交换 机 基础 及 配置 命令 
(2)IEEE 802.1x 基础 及 配置 命令 
CO) 掌 握 交 换 机 IEEE 802.1x 基础 配置 ES Si 
G) 掌 握 第 三 方 开发 IEEE 802.1x 客户 | G) 第 三 方 开发 IEBE 802.1x 客户 册 
公司 局 域 网 接 入 认证 服务 8021XClientV220-0231-windows 


公司 局 域 网 端口 隔离 


公司 局 域 网 端口 绑 定 


企业 网 瑟 地 址 安全 管理 


端 安装 及 配置 基础 


802.1x 客户 端 安装 及 配置 基础 


(D 掌 握 交 换 机 端口 隔离 技术 
CO) 掌 握 FTP 服务 搭建 


掌握 交换 机 端口 绑 定 技术 


(掌握 DHCP 服务 器 安装 及 配置 
(2) 掌 握 DHCP 客户 端 配置 

(3) 掌 握 DHCP 客户 端 相关 命令 
(4) 掌 握 DHCP Snooping 基础 配置 





重点 难点 


交换 机 基础 配置 。 

交换 机 IEEE 802.1x 基础 配置 。 
IEEE 802.1x 客户 端 安装 及 配置 。 
交换 机 端口 隔离 基础 配置 。 
FTP 服务 搭建 。 

交换 机 端口 绑 定 配置 。 

DHCP 基本 概念 及 原理 。 

DHCP 服务 器 安装 及 配置 。 
DHCP 客户 端 配置 及 常用 命令 。 
DHCP Snooping 基本 概念 及 原理 。 
DHCP Snooping 配置 。 


(4) 掌 握 Windows 系列 操作 系统 IEEE 





安装 及 配置 方法 

(4)Windows 系列 操作 系统 IEEE 
802.1x 客户 端 安装 及 配置 方法 
(交换 机 端口 隔离 基础 及 配置 命令 
(2)FTP 服务 搭建 方法 

(DD) 交换 机 端口 绑 定 技术 及 配置 命令 
C) 查 看 交换 机 端口 绑 定 表 命令 
(DDHCP 基本 概念 及 原理 
(2)DHCP 客户 端 配置 及 常用 命令 
(3)DHCP Snooping 基本 概念 、 原 理 
及 配置 命令 
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3.1 任务 1: 公司 局 域 网 接 入 认证 服务 


3.1.1 IEEE 802.1x 任务 描述 


某 公司 构建 自己 的 内 部 企业 网 ， 每 个 员工 都 有 一 台 办 公 电 脑 ， 主 机 规模 近 100 台 ， 内 
部 可 以 实现 通信 和 资源 共享 。 公 司 的 网 络 管理 员 为 了 方便 管理 网 络 ， 并 提高 网 络 安全 性 ， 
希望 只 有 合法 用 户 才能 接 入 网 络 ， 非 法 用 户 拒绝 接 入 网 络 。 请 你 规划 并 实施 网 络 。 





3.1.2 IEEE 802.1x 任务 目标 与 目的 


1. 任务 目标 

针对 该 公司 网 络 需求 ， 进 行 网 络 规划 设计 ， 通 过 IEEE 802.1x 技术 实现 对 接 入 网 络 的 
用 户 进行 身份 验证 ， 保 证 只 有 合法 用 户 才能 接 入 网 络 ， 非 法 用 户 拒绝 接 入 网 络 。 

2. 任务 目的 


通过 本 任务 进行 交换 机 的 IEEE 802.1x 配置 ， 以 帮助 读者 在 深入 了 解 交 换 机 IEEE 
802.1x 配置 的 基础 上 ， 能 够 利用 IEEE 802.1x 技术 对 接 入 网 络 用 户 进行 身份 验证 ， 以 提高 
网 络 的 安全 性 ， 方 便 进行 网 络 管理 ， 并 具备 灵活 运用 的 能 力 。 


3.1.3 IEEE 802.1x 技术 任务 需求 与 分 析 


1. 任务 需求 

某 公司 构建 了 自己 的 内 部 网 络 ， 主 机 规模 近 100 台 。 从 网 络 安全 和 方便 管理 的 角度 考 
虚 ， 希 望 对 接 入 网 络 的 用 户 进行 身份 验证 ， 保 证 只 有 合法 用 户 才能 接 入 网 络 ， 非 法 用 户 不 
能 接 入 网 络 。 

. 需求 分 析 

需求 1: 公司 的 每 台电 脑 在 接 入 网 络 时 
都 需要 输入 正确 的 账户 名 和 密码 ， 通 过 身 
份 验证 才能 接 入 网 络 。 

分 析 1: 通过 在 接 入 层 交换 机 部 署 
IEEE 802.1x 技术 ， 对 网 络 用 户 进行 身份 
验证 。 

根据 任务 需求 和 需求 分 析 ， 组 建 公司 
办 公 区 的 网 络 结构 ， 如 图 3-1 所 示 。 图 3-1 公司 办 公 区 的 网 络 结构 
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3.1.4 IEEE 802.1x 技术 知识 链接 


1. IEEE 802.1x 身份 认证 


IEEE 802 LAN/WAN 委员 会 为 解决 无 线 局 域 网 网 络 安全 问题 ， 提 出 了 IEEE 802.1x 协 
议 。 后 来 ，IEEE 802.1x 协议 作为 局 域 网 端口 的 一 个 普通 接 入 控制 机 制 应 用 于 以 太 网 中 , 主 
要 解决 以 太 网 内 认证 和 安全 方面 的 问题 。 IEEE 802.1x 协议 是 一 种 基于 端口 的 网 络 接 入 控制 
(Port-based Network Access Control) 协 议 。“ 基 于 端口 的 网 络 接 入 控制 ”是 指 在 局 域 网 接 入 设 
备 的 端口 这 一 级 对 所 接 入 的 设备 进行 认证 和 控制 。 连 接 在 端口 上 的 用 户 设备 如 果 能 通过 认 
证 ， 就 可 以 访问 局 域 网 中 的 资源 ， 如 果 不 能 通过 认证 ， 则 无 法 访问 局 域 网 中 的 资源 。 

IEEE 802.1x 协议 起 源 于 IEEE 802.11 协议 ,后 者 是 IEEE 的 无 线 局 域 网 协议 ,制定 IEEE 
802.1x 协议 的 初衷 是 为 了 解决 无 线 局 域 网 用 户 的 接 入 认证 问题 , IEEE 802 LAN 协议 定义 的 
局 域 网 并 不 提供 接 入 认证 ， 只 要 用 户 能 接 入 局 域 网 控制 设备 (如 LAN Switch) 就 可 以 访问 局 
域 网 中 的 设备 或 资源 。 这 在 早期 企业 网 有 线 LAN 应 用 环境 下 并 不 存在 明显 的 安全 隐患 。 但 
是 随 着 移动 办 公 及 驻地 网 运营 等 应 用 的 大 规模 发 展 ， 服 务 提供 者 需要 对 用 户 的 接 入 进行 控 
制 和 配置 。 尤 其 是 WLAN 的 应 用 和 LAN 接 入 在 电信 网 上 大 规模 开展 ， 有 必要 对 端口 加 以 
控制 以 实现 用 户 级 的 接 入 控制 。IEEE 802.lx 就 是 IEEE 为 了 解决 基于 端口 的 接 入 控制 
(Port-based Network Access Control) 而 定义 的 一 个 标准 。 


2. IEEE 802.1x 体系 结构 


使 用 IEEE 802.1x 的 系统 为 典型 的 Client/Server 体系 结构 ， 包 括 三 个 实体 ， 分 别 为 
Supplicant System( 客 户 端 )、Authenticator System( 设 备 端 ) 和 Authentication Server System( 认 
证 服务 器 )， 如 图 3-2 所 示 。 











客户 端 


受 控 端 口 上 受 控 端 口 
pe 


非 受 控 端 口 





LAN/WAN 





图 3-2 IEEE 802.1x 体系 结构 


1) 客户 端 

客户 端 是 位 于 局 域 网 段 一 端的 一 个 实体 ， 由 该 链 路 另 一 端的 设备 端 对 其 进行 认证 。 客 
户 端 一 般 为 用 户 终 端 设 备 ， 用 户 通过 启动 客户 端 软 件 发 起 IEEE 802.1x 认证 。 客 户 端 软件 
必须 支持 EAPOL(Extensible Authentication Protocol overLAN, 局 域 网 上 的 可 扩展 认证 协议 ) 








9) 
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协议 。 

2) 设备 端 

设备 端 是 位 于 局 域 网 段 一 端的 另 一 个 实体 ， 用 于 对 所 连接 的 客户 端 进行 认证 。 设 备 端 
通常 为 支持 IEEE 802.1x 协议 的 网 络 设备 (如 H3C 系列 交换 机 )， 它 为 客户 端 提供 接 入 局 域 
网 的 端口 ， 该 端口 可 以 是 物理 端口 ， 也 可 以 是 逻辑 端口 。 

3) “认证 服务 器 

认证 服务 器 是 为 设备 端 提 供认 证 服务 的 实体 。 认 证 服务 器 用 于 实现 用 户 的 认证 、 授 权 
和 计 费 ， 通 常 为 RADIUS 服务 器 。 该 服务 器 可 以 存储 用 户 的 相关 信息 ， 如 用 户 的 账号 、 密 
码 以 及 用 户 所 属 的 VLAN、 优 先 级 、 用 户 的 访问 控制 列表 等 。 


3. IEEE 802.1x 工作 原理 


IEEE 802.1x 体系 结构 中 的 三 个 实体 涉及 四 个 基本 概念 : PAE、 受 控 端 口 、 受 控 方 向 和 
端口 受 控 方 式 。 

1) PAE 

PAE(Port Access Entity, 端口 访问 实体 ) 是 认证 机 制 中 负责 执行 算法 和 协议 操作 的 实体 。 
设备 端 PAE 利用 认证 服务 器 对 需要 接 入 局 域 网 的 客户 端 执行 认证 ， 并 根据 认证 结果 相应 地 
对 受 控 端 口 的 授权 / 非 授权 状态 进行 控制 。 客 户 端 PAE 负责 响应 设备 端的 认证 请 求 , 向 设备 
端 提交 用 户 的 认证 信息 。 客 户 端 PAE 也 可 以 主动 向 设备 端 发 送 认 证 请 求 和 下 线 请 求 。 

2)” 受 控 端 口 

设备 端 为 客户 端 提供 接 入 局 域 网 的 端口 ， 这 个 端口 被 划分 为 两 个 虚 端 口 ， 受 控 端 口 和 
非 受 控 端 口 。 非 受 控 端 口 始终 处 于 双向 连通 状态 ， 主 要 用 来 传递 EAPOL 协议 帧 ， 保 证 客 
户 端 始终 能 够 发 出 或 接受 认证 。 受 控 端 口 在 授权 状态 下 处 于 连通 状态 ,用 于 传递 业务 报 文 ; 
在 非 授权 状态 下 处 于 断 开 状 态 ， 禁 止 传递 任何 报 文 。 受 控 端口 和 非 受 控 端 口 是 同一 端口 的 
两 个 部 分 ; 任何 到 达 该 端口 的 帧 ， 在 受 控 端 口 与 非 受 控 端 口 均 可 见 。 

3)” 受 控 方向 

在 非 授权 状态 下 ， 受 控 端 口 可 以 被 设置 成 单 向 受 控 : 实行 单 向 受 控 时 ， 禁 止 从 客户 端 
接收 帧 ， 但 允许 向 客户 端 发 送 帧 。 在 默认 情况 下 ， 受 控 端 口 实行 单 向 受 控 。 

4) ”端口 受 控 方式 

H3C 系列 交换 机 支持 以 下 两 种 端口 受 控 方式 。 

(1) 基于 端口 的 认证 : 只 要 该 物理 端口 下 的 第 一 个 用 户 认证 成 功 ， 其 他 接 入 用 户 无 须 
认证 就 可 使 用 网 络 资源 ， 当 第 一 个 用 户 下 线 后 ， 其 他 用 户 也 会 被 拒绝 使 用 网 络 。 在 默认 情 
况 下 ，H3C 交换 机 为 基于 端口 的 认证 。 

(2) 基于 MAC 地 址 认证 : 该 物理 端口 下 的 所 有 接 入 用 户 都 需要 单独 认证 ， 当 某 个 用 
户 下 线 时 ， 只 有 该 用 户 无 法 使 用 网 络 ， 不 会 影响 其 他 用 户 使 用 网 络 资源 。 

4. IEEE 802.1x 工作 机 制 

IEEE 802.1x 认证 系统 利用 EAPOL(Extensible Authentication Protocol, 可 扩展 认证 协议 )， 
在 客户 端 和 认证 服务 器 之 间 交 换 认证 信息 。IEEE 802.1x 系统 认证 工作 机 制 如 图 3-3 所 示 。 

(1) 在 客户 端 PAE 与 设备 端 PAE 之 间 ，EAP 协议 报 文 使 用 EAPOL 封装 格式 ， 直 接应 
用 于 LAN 环境 中 。 
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EAPOL RADIUS 
Supplicant System Authenticator System Authentication Server 
PAE PAE System 





3-3 IEEE 802.1x 系统 认证 工作 机 制 

(2) 在 设备 端 PAE 与 RADIUS 服务 器 之 间 , EAP 协议 报 文 可 以 使 用 EAPOR(EAP over 
RADIUS) 封 装 格式 ， 应 用 于 RADIUS 协议 中 ; 也 可 以 由 设备 端 PAE 进行 终结 ， 而 在 设备 端 
PAE 与 RADIUS 服务 器 之 间 传 送 PAP 协议 报 文 或 CHAP 协议 报 文 。 

(3) 当 用 户 通 过 认证 后 ， 认 证 服务 器 会 把 用 户 的 相关 信息 传递 给 设备 端 ， 设 备 端 PAE 
根据 RADIUS 服务 器 的 指示 (Accept 或 Reject) 决 定 受 控 端 口 的 授权 / 非 授 权 状 态 。 

5. 配置 命令 

H3C 系列 和 Cisco 系列 交换 机 上 配置 IEEE 802.1x 协议 的 相关 命令 如 表 3-1 所 示 。 














表 3-1 IEEE 802.1x 配置 命令 
H3C 系列 设备 Cisco 系列 设备 


配置 视图 基本 命令 


使 能 IEEE 802.1x | 系统 视图 具体 配置 ”| Cisco(config-ifj#dotlx 
全 局 功能 模式 port-control auto 


使 能 端口 IEEE 系统 视图 [H3C]dotlx interface 





802.1x 功能 Ethernet 1/0/1 
设置 端口 接 入 控 | 系统 视图 [H3C] dotlx port-method 
制 模式 macbased interface 


GigabitEthernet 1/0/1 


创建 账户 系统 视图 [H3C]local-user zhangsan 国清 


Cisco(config)#username 
zhangsan password 123 


设置 口令 具体 视图 [H3C-luser-zhangsan] 
password cipher 123 


将 本 地 账户 更 改 ”| 具体 视图 [H3C-luser-zhangsan] 








为 IEEE 802.1x 账 户 service-type lan-access 
> i 全 Swl 
3.1.5 IEEE 802.1x 技术 任务 实施 NR 
1. 实施 规划 
1) 实 训 拓 扑 结 构 LL LR 
根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 Pem: i 
图 3-4 所 示 ， 以 PC1、PC2 模仿 公司 员工 的 计算 机 。 0 
2)” 实 训 设 备 图 3-4” 实 训 的 拓扑 结构 及 网 络 参数 


根据 任务 的 需求 和 实 训 拓 扑 ， 每 个 实 训 小 组 的 实 训 设 备 配 
置 清 单 如 表 3-2 所 示 。 
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表 3-2 ” 实 训 设备 配置 清单 









设备 类 型 设备 型 号 





交换 机 
计算 机 
IEEE 802.1x 客户 端 


S3610-28TP 
Windows 2003/Windows 7 
8021XClientV220-0231-windows, 



















3) ”了 P 地 址 规划 
根据 需求 分 析 本 任务 的 卫 地 址 规划 ， 如 表 3-3 所 示 。 


表 3-3 IP 地 址 规划 


设 备 IP 地 址 网 关 
PC1 192.168.10.2/24 
PC2 192.168.10.3/24 


2. 实施 步骤 











(1) 根据 实 训 拓扑 图 进行 交换 机 、 计 算 机 的 线 缆 连 接 ， 配 置 PC1、PC2 的 下地 址 。 

(2) 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ”组 件 程序 通过 串口 连接 到 交换 机 的 
配置 界面 ， 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 8、 奇 偶 校 
验 无 、 数 据 流 控制 无 )。 

(3) 超级 终端 登录 路 由 器 ， 进 行 任务 的 相关 配置 。 

(4) Swl 主要 配置 清单 如 下 。 





-、sw1l 的 配置 
lL.swl 初始 化 配置 
<H3C>system-view 
H3C]sysname swl 
2.802.1x 的 配置 
(]) 全 局 开启 IEEE 802.1x 功能 : 
swlldotlx 
(2) 开 启 端 口 IEEE 802.1x 功能 : 

[swlldotlx interface Ethernet 1/0/3to Ethemet 1/0/10 

(3) 配 置 IEEE 802.1x 账户 : 

swlllocal-user zhangsan 

[swl-luser-zhangsanlpassword cipher 123 

swl-luser-zhangsan]service-type lan-access 。 “/* 将 本 地 账户 zhangsan 改 为 EEE 802.1x 账户 

(5) IEEE 802.1x 客户 端 设置 。 

IEEE 802.1x 客户 端的 设置 可 以 采用 两 种 方式 : 是 采用 操作 系统 自 带 的 IEEE 802.1x 
客户 端 软件 (Windows 系列 操作 系统 默认 安装 ); 二 是 采用 第 三 方 开发 的 IEEE 802.1x 客户 端 
软件 。 本 处 先 采 用 第 三 方 开发 的 IEEE 802.1x 客户 端 软 件 ， 然 后 再 演示 操作 系统 自 带 的 
IEEE 802.1x 客户 端 软件 的 使 用 。 












































@ 
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@ 第 三 方 开发 的 IEEE 802.1x 客户 端 软件 设置 。 

双击 8021XClientV220-0231-window 客户 端 软 件 安装 程序 ， 打 开 程 序 安 装 向 导 ， 如 
3-5 所 示 。 

单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 许 可 证 协议 ”对 话 框 ， 选 中 “我 接受 许可 证 协议 中 的 条 
款 ” 单 选 按钮 ， 如 图 3-6 所 示 。 











MC 802. 17 客户 沪 -InstallShield Vie jGC 802.17 客户 篇 - InstsllShielad i200 Er 
许可 证 协议 \ 
欢迎 使 用 MBC 802. 17 客户 匾 TastellShiela 请 他 组 同 雪 下 面 的 许可 证 协议 。 
Vizerd 


InstallShield(R) Wixard 计算 机 中 安装 JGC 
502.1X 客户 靖 。 若 要 继续 ， 博 单 击 “ 下 一 步 ”。 











《上 一 步 四 ) 取消 








图 3-5 8021XClientV220-0231-window 安装 向 导 图 3-6 “许可 证 协议 ”对 话 框 
单 击 “ 下 一 步 ” 按 钮 打开“ 客户 信息 ”对 话 框 ， 如 图 3-7 所 示 。 设 置 客 户 信息 ， 此 
处 我 们 保持 默认 设置 。 


单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 安 装 类 型 ”对 话 框 。 选 择 安装 类 型 ， 此 处 我 们 安装 类 型 
选择 为 “全 部 ”如 图 3-8 所 示 。 


HGC_ 602. 17 客户 篇 -InstallShield Tz 








sw [Bm] mw | 








sum mw | 
图 3-7 “客户 信息 ”对 话 杠 图 3-8 “安装 类 型 ”对 话 杠 


单 击 “ 下 一 步 ” 按 钮 ， 再 单 击 “ 完 成 ”按钮 即 可 完成 程序 安装 ， 如 图 3-9 所 示 。 

程序 安装 完成 后 ， 需 要 重启 操作 系统 ， 进 行 初始 化 配置 ， 程 序 才 能 正常 使 用 。 此 时 系 
统 会 弹出 要 求 用 户 重启 计算 机 的 对 话 框 ， 如 图 3-10 所 示 。 当 然 为 了 节约 时 间 ， 也 可 以 不 重 
启 操作 系统 ， 通 过 将 主机 网 卡 禁 用 再 启用 可 以 达到 同样 的 效果 。 此 处 ， 我 们 选择 禁用 再 启 
用 网 卡 的 方法 。 

禁用 再 重启 网 卡 的 方法 为 : 在 电脑 桌面 右 击 “我 的 电脑 ”在 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”命令 ， 如 图 3-11 所 示 。 

打开 “系统 属性 ”对 话 框 ， 切 换 到 “硬件 ”选项 卡 ， 然 后 单 击 “ 设 备 管理 器 ”按钮 ， 


























(GC@》 计算 机 网 络 安全 与 管理 项 目 教程 





潼 洲 车 粮 半 ”车 潍 R 谷 此 外 纠 招 也 


如 图 3-12 所 示 。 


IGC_ 602. 17 客户 油 一 InstsllShield Vizsre 







InstellShield Wizard 完成 


InstallShield Wirard J9C 802.1X 客户 
端 , 单 击 “ 完 成 ”以 退出 同 导 。 





重新 启动 计算 机 


如果 认 证 程序 局 动 后 无 法 发 现 网 卡 ， 请 重新 启动 计算 机 。 


人 省， 立即 重新 启动 于 其 可 。] 
个 否 ， 稍 后 再 重新 启动 计算 机 。 








3-9 ”完成 程序 安装 3-10 “重新 启动 计算 机 ”对 话 框 





全 地 | 计 和 有 2 证 攻 襄 红 | zh 析 | 这 程 | 


| 郑 1r 硬 从 和 导 
| Ee 
| 


























| 者 件 和 学 (8) 
「 设备 圭 理 锋 
| Ey 和 请 使 用 设 
| ee | Ci 
要件 时 年 文 件 
| Es] 硬件 配置 文件 向 伤 提供 建立 和 保存 不 同 硬件 配置 的 方 舍 ， 
Ie 硬件 配置 文件 (E) | 
图 3-11 选择 “属性 ”命令 图 3-12 “系统 属性 ”对 话 框 
打开 “设备 管理 器 ”窗口 ， 展 开 “ 网 络 适配器 ”选项 ， 先 中 网 卡 并 右 击 ， 在 弹出 的 快 














捷 菜 单 中 选择 “禁用 ”命令 ， 如 图 3-13 所 示 。 


al 
操作 (A) 查看 (2) 帮助 介 ) 
| 加 急 电 | 半 三男 重 

















3-13 ”禁用 网 卡 














由 EFF ES 


随后 在 打开 的 警告 对 话 框 中 单 击 “ 是 ”按钮 ， 如 图 3-14 所 示 。 
禁用 网 卡 后， 再 右 击 网 卡 ， 选 择 “ 启 用 ”命令 ， 如 图 3-15 所 示 。 


| 瑟 设 各 管理 荐 。。 -jalxl 
文件 全 操作 (4) 查看 全) 加 助 (ID) 
+ +| 回 | 久生 名 | 加 | 守 罗 于 
马 
VCorROI 卫 动 大 
a 

















看 刚 ,声音 ， 视 志和 游戏 控制 峰 


市- 民生 和 其 它 指针 设备 
后 肥 ) 网 络 适 配 问 面 








VIvare Accelerated AND PCNEt TI 


让 请 | 系 杭 识 各 到 栏 序 (E), . 
人 禁用 该 设备 会 使 其 停止 运行 。 确 实 要 禁用 该 设备 吗 ? 风 当 前 的 过 择 打开 属性 页 - ED 


性 日 国 乙 ” 驴 池 局 性 (R) 
















图 3-14 确认 禁用 网 卡 图 3-15 启用 网 卡 


至 此 ，IEEE 802.1x 客户 端 已 完成 安装 并 成 功 进行 了 设置 。 但 由 于 我 们 采用 的 IEEE 
802.1x 不 是 Windows 的 客户 端 ， 必 须要 将 操作 系统 自身 的 IEEE 802.1x 客户 端 功能 关闭 。 
关闭 操作 系统 的 IEEE 802.1x 客户 端 功能 的 方法 为 : 右 击 “我 的 电脑 ”在 弹出 的 快捷 菜单 
中 选择 “管理 ”命令 ， 如 图 3-16 所 示 。 








出 了 | 大 品 男 局 | 
Sv 





| 
3-16 选择 “管理 ”命令 
打开 “计算 机 管理 ”窗口 ， 依 次 展开 “服务 和 应 用 程序 ”“ 服 务 ” 选 项 ， 如 图 3-17 
所 示 。 
在 右边 服务 列表 中 找到 Wireless Configuration 服务 ， 双 击 打开 ， 然 后 单 击 “ 停 止 ” 按 
钮 ， 即 可 停止 IEEE 802.1x 服务 ， 如 图 3-18 所 示 。 


此 时 在 客户 端 桌面 上 将 生成 下 EE 802.1x 快捷 方式 ， 双 击 打 开 ， 输 入 账户 和 密码 ， 即 
可 通过 IEEE 802.1x 客户 端 登录 ， 如 图 3-19 所 示 。 
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生机 和 TE 
号 文件 @E) 操作 @) 查看 {人 窗口 人 帮 有 动人 ) |=Is|x] 
中 包间 | 辆 | 回忆 | 岛 | ，， 于 人 于 

[EE 

日 荆 系统 工具 





迁 友 一 个 项 目 未 查看 它 的 搞 。 族 攻 El 抱 is| 
壕 。 a 通 . 




















图 3-17 “服务 ”选项 窗口 








[TITTTETCOTTISCCTDTOI 耻 z| 


帘 需 “| 澡 录 | 性 复 | 仿 存 关系 | 


服务 名 称 : CSYC 
:EE 











ge 国 
村 文人 的 果 狂 GD): D4 
NWINDONS\ Sys ten32\avehoat. exe < netaves 
启动 类 型 人 E); | 自动 了 用 户 各 :|zhanesan 

SH: [， 
慑 务 状 而; 已 启动 伙 保存 密码 
Ey CD ue | Ww | ga | 
当众 夫 外 启 中 服务 时 ， 刀 可 指定 所 冯 有 的 局 基 娄 。 这 近 网 络 适 也 器 - 
局 动 大 项 负 ) Realtek PCIe GBE Fanily Controller wu 











CD |_ we 





3-18 ”停止 Wireless Configuration 服务 3-19 1IEEE 802.1x 客户 端 登录 


@ ”Windows 系列 操作 系统 自身 IEEE 802.1x 客户 端 设置 。 

在 默认 情况 下 ，Windows 操作 系统 自身 已 经 安装 并 启用 了 IEEE 802.1x 客户 端 ， 即 上 
面 提 到 的 Wireless Configuration 服务 。 如 果 没有 启用 ， 通 过 上 面 的 方法 ， 将 其 启动 。 然 后 
在 桌面 上 右 击 “ 网 上 邻居 ”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 如 图 3-20 所 示 。 
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时 #8| 妆 号 国 祝 | 
下 


3-20 选择 “属性 ”命令 





打开 “网 络 连接 ”窗口 ， 右 
性 ”命令 ， 如 图 3-21 所 示 。 








二 “本 地 连接 ”选项 ， 在 随后 弹出 的 快捷 菜单 


EEE DD EFS 











ph 选 择 “ 属 
入 网 络 连接 = 上 | x| 
文件 (E) 编辑 下 ) 查看 (WD) 收藏 作 ) 工具 (D) 高 级 (ID) 帮助 (0) Es 
加 所 Ev 加 ”六 | 万 搜索 已 文件 炎 | 本 庆 X 鸣 | 四 > 
地 址 (D) [@ 网 络 连 接 了 | 回 苇 到 
L&W 或 高 速 Internet 


























型 


向 导 








叶 查看 或 更 改 该 连接 的 设置 ， 如 适配器 、 协 议 、 或 调制 解 调 器 配置 设置 


A 





3-21 选择 “属性 ”命令 
在 “本 地 连接 属性 ”对 话 框 中 ， 切 换 到 “身份 验证 ”选项 卡 ， 如 图 3-22 所 示 。 





选中 “为 此 网 络 启用 IEEE 802.1X 身份 验证 (E)” 复 选 框 ， 在 “EAP 类 型 ”下 拉 列 表 框 
中 选择 “MD5- 质 询 ” 选 项 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 Windows 系列 操作 系统 自 


带 的 IEEE 802.1x 客户 端的 设置 ， 如 图 3-23 所 示 。 


小 - 本 地 连接 属性 


%M dE | 


连接 时 使 用 ， 


?xx| 


Wy Vwarc Accclcratcd AND PCNct Adaptcr 


[EC 
此 连接 使 用 下 列 项 目 (0): 
口 硬 网 络 负 载 平衡 


回转 W1crosort 网 络 的 文件 和 打印 机 共享 
回 针 Internet 协议 (TCP/IP) 


安装 人 0,.， | 旬 载 (0) 





属性 @) | 
说明 
多 许 您 的 计算 机 访问 Mi croseft 网 络 上 的 资源 。 











[了 ” 连接 后 在 通知 区 域 是 示 图标 (D 





确定 取消 


图 3-22 “身份 验证 ”选项 卡 


3.1.6 任务 验收 


1. 设备 验收 


根据 实 训 拓扑 图 检查 验收 路 由 器 、 计 算 机 的 线 缆 连 接 ， 检 查 PC1、PC2 的 他 地 址 。 





二 本 地 连接 属性 E 
MX 办 CIETY | 


选择 此 选项 未 为 以 太 网 提供 网 络 访问 的 身份 驻 证 。 


3x| 


i 
属性 (R》 
[ 当 计算 机 信息 可 用 时 身份 验证 为 计算 机 (C) 


厂 当 用 户 或 计算 机 信息 不 可 用 时 身份 验证 为 来 宾 (C) 











[| 确定 |] 区 


3-23 ”Windows 操作 系统 自 带 
IEEE 802.1x 客户 端 设 置 
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打开 “网 络 连接 ”窗口 ， 右 
性 ”命令 ， 如 图 3-21 所 示 。 








二 “本 地 连接 ”选项 ， 在 随后 弹出 的 快捷 菜单 


EEE DD EFS 











ph 选 择 “ 属 
入 网 络 连接 = 上 | x| 
文件 (E) 编辑 下 ) 查看 (WD) 收藏 作 ) 工具 (D) 高 级 (ID) 帮助 (0) Es 
加 所 Ev 加 ”六 | 万 搜索 已 文件 炎 | 本 庆 X 鸣 | 四 > 
地 址 (D) [@ 网 络 连 接 了 | 回 苇 到 
L&W 或 高 速 Internet 


























型 


向 导 








叶 查看 或 更 改 该 连接 的 设置 ， 如 适配器 、 协 议 、 或 调制 解 调 器 配置 设置 


A 





3-21 选择 “属性 ”命令 
在 “本 地 连接 属性 ”对 话 框 中 ， 切 换 到 “身份 验证 ”选项 卡 ， 如 图 3-22 所 示 。 





选中 “为 此 网 络 启用 IEEE 802.1X 身份 验证 (E)” 复 选 框 ， 在 “EAP 类 型 ”下 拉 列 表 框 
中 选择 “MD5- 质 询 ” 选 项 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 Windows 系列 操作 系统 自 


带 的 IEEE 802.1x 客户 端的 设置 ， 如 图 3-23 所 示 。 


小 - 本 地 连接 属性 


%M dE | 


连接 时 使 用 ， 


?xx| 


Wy Vwarc Accclcratcd AND PCNct Adaptcr 


[EC 
此 连接 使 用 下 列 项 目 (0): 
口 硬 网 络 负 载 平衡 


回转 W1crosort 网 络 的 文件 和 打印 机 共享 
回 针 Internet 协议 (TCP/IP) 


安装 人 0,.， | 旬 载 (0) 





属性 @) | 
说明 
多 许 您 的 计算 机 访问 Mi croseft 网 络 上 的 资源 。 











[了 ” 连接 后 在 通知 区 域 是 示 图标 (D 





确定 取消 


图 3-22 “身份 验证 ”选项 卡 


3.1.6 任务 验收 


1. 设备 验收 


根据 实 训 拓扑 图 检查 验收 路 由 器 、 计 算 机 的 线 缆 连 接 ， 检 查 PC1、PC2 的 他 地 址 。 





二 本 地 连接 属性 E 
MX 办 CIETY | 


选择 此 选项 未 为 以 太 网 提供 网 络 访问 的 身份 驻 证 。 


3x| 


i 
属性 (R》 
[ 当 计算 机 信息 可 用 时 身份 验证 为 计算 机 (C) 


厂 当 用 户 或 计算 机 信息 不 可 用 时 身份 验证 为 来 宾 (C) 











[| 确定 |] 区 


3-23 ”Windows 操作 系统 自 带 
IEEE 802.1x 客户 端 设 置 
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2. 配置 验收 


查看 802.1x 配置 列表 : 


[swlldisplay dotlx interface Ethernet 1/0/3 to Ethernet 1/0/10 
Equipment 802.1X protocol is enabled 

CHAP authentication is enabled 

Proxy trap checker is disabled 

Proxy logoff checker is disabled 

EAD quick deploy is disabled 


Configuration: Transmit Period 30 s, Handshake Period 15 s 
Quiet Period 60 s, Quiet Period Timer is disabled 
Supp Timeout 30 s, Server Timeout 100 s 
The maximal retransmitting times 


EAD quick deploy configuration: 
EAD timeout: 30 m 


The maximum 802.1X user resource number is 1024 per slot 
Total current used 802.1X resource number is 1 


Ethernet1/0/3 is link-up 
802.1X protocol is enabled 
Proxy trap checker is disabled 
Proxy logoff checker is disabled 
Handshake is enabled 
The port is an authenticator 


3. 功能 验收 
在 PC1、PC2 上 通过 Ping 命令 进行 通信 (从 断 开 恢复 到 正常 通信 )， 如 图 3-24 所 示 。 


=|9|x| 


@,. Lost = 1 (19@x loss), 











图 3-24 在 PC1、PC2 上 通过 Ping 命令 进行 通信 


3.1.7 ”任务 总 结 


针对 某 公 司 办 公 区 网 络 改造 任务 的 内 容 和 目标 ， 根 据 需求 分 析 进 行 了 实 训 的 规划 和 实 
施 ， 通 过 本 任务 进行 了 交换 机 的 IEEE 802.1x 配置 。 通 过 IEEE 802.1x 进行 验证 可 以 实现 只 

合法 用 户 登 录 网 络 ， 而 非法 用 户 被 拒 之 门 外 ， 从 而 提高 了 网 络 的 安全 性 ， 也 方便 了 网 络 
管理 。 
































JN 劳 3 章 局 场 网 安全 胡 尖 /4 


3.2 任务 2: 公司 局 域 网 端口 隔离 


3.2.1 局 域 网 端口 隔离 任务 描述 


某 公司 有 普通 办 公 区 和 技术 部 两 个 部 门 , 构 
建 了 自己 的 内 部 企业 网 , 每 位 员工 都 有 一 台 办 公 六 公司 
电脑 ， 主 机 规模 近 100 台 ， 内 部 可 以 实现 通信 。 
为 了 办 公 需 要 ， 公 司 在 技术 部 部 署 了 一 台 FTP 
服务 器 ,实现 公司 内 部 的 资源 共享 。 从 网 络 安全 
与 管理 的 角度 考虑 , 网 络 管理 员 希 望 内 部 普通 办 技术 部 
公 区 员工 的 主机 之 间 不 能 相互 通信 , 但 员工 电脑 
均 可 正常 访问 公司 的 FTP 服务 器 。 请 你 规划 并 实 
施 网 络 。 该 公司 的 组 织 结构 如 图 3-25 所 示 。 








3-25 ”公司 的 组 织 结构 


3.2.2 局域网 端口 隔离 任务 目标 和 目的 


1. 任务 目标 

针对 该 公司 的 网 络 需 求 ， 通 过 局 域 网 端口 隔离 技术 ， 实 现 对 局 域 网 内 部 主机 之 间 通 信 
的 相互 隔离 。 

2. 任务 目的 

通过 本 任务 进行 交换 机 的 端口 隔离 配置 ， 以 帮助 读者 在 深入 了 解 交换 机 的 基础 上 ， 能 
够 利用 端口 隔离 技术 提高 网 络 性 能 和 数据 转发 安全 性 ， 并 具备 灵活 运用 的 能 


3.2.3 ”局 域 网 端口 隔离 任务 需求 与 分 析 


1. 任务 需求 
公司 在 内 部 部 署 了 一 台 FTP 服务 器 ， 实 现 公 司 内 部 的 资源 共享 。 从 网 络 安全 与 管理 的 
角度 考虑 ， 网 络 管理 员 希 望 普 通 办 公 区 员工 主机 之 间 不 能 相互 通信 ， 但 员工 电脑 均 可 正常 
访问 公司 的 FTP 服务 器 。 部 门 与 计算 机 、 服 务 器 对 应 数量 ， 如 表 3-4 所 示 。 
表 3-4 部门 与 计算 机 、 服 务 器 对 应 表 








根据 任务 需求 和 需求 分 析 ， 组 建 公司 的 网 络 结构 ， 如 图 3-26 所 示 。 
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技术 部 
FIP 服务器 





图 3-26 ”公司 的 网 络 结构 
2. 需求 分 析 
需求 1 从 安全 和 可 管理 的 角度 考虑 ， 普 通 办 公 区 的 电脑 之 间 不 能 相互 通信 。 
分 析 1: 通过 交换 机 端口 隔离 技术 ， 实 现 普 通 办 公 区 主机 之 间 通 信 的 隔离 。 
需求 2， 普通 办 公 区 的 员工 主机 均 可 正常 访问 技术 部 的 FTP 服务 器 。 
分 析 2: 通过 端口 隔离 的 uplink 端口 技术 ， 实 现 普通 办 公 区 的 员工 主机 均 可 访问 技术 
部 的 FTP 服务 器 。 


3.2.4 ”端口 隔离 知识 链接 


1. 端口 隔离 的 基本 概念 

端口 隔离 是 为 了 实现 报 文 之 间 的 二 层 隔 离 ， 以 提升 网 
络 安全 性 。 一 般 而 言 ， 要 实现 二 层 报 文 隔离 人 们 首先 想到 
的 是 VLAN 技术 ， 即 可 以 将 不 同 的 端口 加 入 不 同 的 
VLAN， 如 图 3-27 所 示 。 

但 采用 VLAN 技术 实现 二 层 报 文 隔 离 , 将 带 来 以 下 两 
个 严重 问题 。 册 图 3.27 采用 VLAN 技术 

1) ”浪费 有 限 的 VLAN 资源 实现 二 层 报 文 隔离 

从 理论 上 讲 ，VLAN ID 的 编号 可 以 从 1 一 4095， 但 一 
般 而 言 ,一 台 二 层 交 换 机 一 般 可 以 划分 255 个 VLAN。 如 
果 采 用 VLAN 技术 实现 二 层 报 文 隔离 ， 需 要 为 每 台 主 机 都 规划 一 个 VLAN， 这 严重 浪费 了 
有 限 的 VLAN ID 资源 ， 并 且 当 网 络 规模 较 大 时 (主机 数 超过 255)，VLAN 技术 就 显得 无 能 
为 多 了 

2) ”导致 VLAN 数 过 多 ， 浪 费 大 量 的 三 层 接 口 ， 导 致 管理 不 便 

一 般 而 言 ， 二 层 有 多 少 个 VLAN， 三 层 就 需要 与 之 对 应 地 提供 多 少 个 三 层 接口 (当然 ， 
也 可 以 采用 其 他 一 些 技术 ， 比 如 super vlan 等 技术 解决 )。 如 果 采 用 VLAN 隔离 二 层 报 文 ， 
将 导致 二 层 VLAN 数量 急剧 增加 , 也 会 导致 三 层 接口 严重 浪费 , 给 网 络 管理 带 来 诸多 不 便 。 

综 上 所 述 ， 采 用 传统 VLAN 技术 实现 二 层 报 文 隔 离 ， 不 是 最 佳 选择 。 

采用 端口 隔离 特性 ， 可 以 实现 同一 VLAN 内 端口 之 间 的 隔离 。 用 户 只 需要 将 端口 加 入 
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隔离 组 中 ， 就 可 以 实现 隔离 组 内 端口 之 间 二 层 数 据 的 隔离 。 端 口 隔 离 功 能 为 用 户 提供 了 更 
安全 、 更 灵活 的 组 网 方案 。 

2. 端口 隔离 的 原理 

实现 同一 VLAN 内 端口 之 间 的 隔离 ， 隔 离 组 内 的 主 
机 之 间 无 法 通信 ， 因 此 更 安全 、 灵 活 和 方便 。 交换机 的 所 
有 端口 属于 一 个 隔离 组 , 隔离 组 内 的 端口 类 型 划分 为 以 下 
两 种 。 

1) 普通 端口 

普通 端口 被 二 层 隔 离 , 连接 在 普通 端口 下 的 主机 之 间 
是 无 法 相互 通信 的 ， 通 信 被 隔离 。 

2) ”上 行 端口 (uplink 端口 ) 

上 行 端口 可 以 和 所 有 普通 端口 进行 通信 。 

如 图 3-28 所 示 为 端口 隔离 典型 应 用 案例 。 在 隔离 组 。 图 3-28 端口 隔离 典型 应 用 案例 
(Port-isolate Group) 内 的 主机 之 间 不 能 通信 ， 但 它们 均 可 以 
和 连接 在 上 行 端口 (Uplink-porb 之 下 的 服务 器 进行 通信 。 

3. 配置 命令 

H3C 系列 和 Cisco 系列 交换 机 上 配置 端口 隔离 协议 的 相关 命令 如 表 3-5 所 示 。 


表 3-5 端口 隔离 配置 命令 
功能 H3C 系列 设备 Cisco 系列 设备 


配置 视图 | 基本 命令 
创建 端口 隔离 组 | 系统 视图 
一 port 


isolate enable 置 模式 isolate 
设置 uplink 端口 [H3C-Ethernet1/0/24]port- Cisco(config-if)#switchport 
isolate uplink-port 置 模式 mode trunk 


server: 


325 端口 隔离 任务 实施 S| 192 168.104 124 


1. 实施 规划 es 


1)” 实 训 拓 扑 结 构 Eo 

根据 任务 的 需求 与 分 析 , 实 训 的 拓扑 结构 及 网 络 参 
数 如 图 3-29 所 示 ， 以 PC1、PC2 模拟 公司 普通 办 公 区 的 
员工 电脑 ，PC3 模拟 公司 的 文件 (FTP) 服 务 器 。 po 区 

2) 实 训 设 备 192.168.10.2 124 192.168.10.3 /24 

根据 任务 的 需求 和 实 训 拓扑 ， 每 个 实 训 小 组 的 实 训 。 图 3-29 实 训 的 拓扑 结构 及 网 络 参数 
设备 配置 清单 如 表 3-6 所 示 。 






< 一 Uplink-port 
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表 3-6” 实 训 设 备 配 置 清单 


设备 类 型 数 量 
交换 机 


计算 机 Windows 2003/Windows 7 








双 绞 线 RJ-45 


3) ”IP 地 址 规划 
根据 需求 分 析 本 任务 的 卫 地 址 规划 ， 如 表 3-7 所 示 。 


表 3-7 ”IP 地址 规划 





PCI1 192.168.10.2/24 





PC2 | | 192168103/24 
Server | | 192168104/24 
2. 实施 步骤 


任务 实施 的 步骤 如 下 。 

(1) 根据 实 训 拓扑 图 进行 交换 机 、 计 算 机 的 线 缆 连 接 ， 配 置 PC1、PC2、PC3 的 IP 
地 址 。 

(2) 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ”组 件 程 序 通过 串口 连接 到 交换 机 的 
配置 界面 ， 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 8、 奇 偶 校 
验 无 、 数 据 流 控制 无 )。 

(3) 超级 终端 登录 路 由 器 ， 进 行 任务 的 相关 配置 。 

(4) Sw 1 主要 配置 清单 如 下 。 

-、 初 始 化 配置 

<H3C>system-view 
H3C]sysname swl 
二 、 配 置 端口 隔离 
1. 将 端口 加 入 隔离 组 
swllinterface Ethernet 1/0/2 
swl-Ethernet1/0/2]port-isolate enable 上 将 端口 加 入 隔离 组 
swllinterface Ethernet 1/0/6 
swl-Ethernet1/0/6]port-isolate enable 
2. 设置 上 联 端 口 为 uplink 
swl-Ethernet1/0/2]quit 
swllinterface Ethernet 1/0/24 
swl-Ethernet1/0/24]jport-isolate uplink-port ”/* 将 端口 设置 为 uplink 类 型 











3.2.6 ”端口 隔离 任务 验收 


1. 设备 验收 
根据 实 训 拓扑 图 检查 验收 路 由 器 、 计 算 机 的 线 缆 连 接 ， 检 查 PC1、PC2、Server 的 全 
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地 址 。 

2. 配置 验收 

查看 端口 隔离 配置 信息 : 

<swl>display isolate port /* 查 看 隔离 组 中 的 端口 

Isolated port(s) on UNIT 1: 

Ethernet1/0/2, Ethernet1/0/6, Ethernet1/0/24 

3. 功能 验 

1) ”隔离 组 内 主机 通信 测试 

在 隔离 组 内 ， 在 PC1 上 运行 Ping 命令 , 测试 其 与 PC2 的 通信 和 情况， 显示 为 无 法 通信 ， 
如 图 3-30 所 示 。 








ping 192.168.18.3 


B。Lost - 4 《198x 1o 











3-30 PC1 与 PC2 无 法 通信 


同样 在 隔 E 本 在 PC2 上 运行 Ping 命令 ,测试 其 与 PC1 的 通信 情况 ， 显 示 为 无 法 
通信 ， 如 图 3-31 所 示 。 





= 4 (19@x loss). 








3-31 PC2 与 PC1 无 法 通信 
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2) ”隔离 组 内 主机 与 Uplink 端口 服务 器 通信 测试 
在 隔离 组 内 的 PC1 上 运行 Ping 命令 , 测试 其 与 Uplink 端口 的 Server 之 间 的 通信 情况 ， 
显示 为 连通 状态 ， 如 图 3-32 所 示 。 





92.168.18.4 











3-32 PC1 与 Server 之 间 处 于 连通 状态 


在 隔离 组 内 的 PC2 上 运行 Ping 命令 , 测试 其 与 Uplink 端口 的 Server 之 间 的 通信 情况 ， 
显示 为 连通 状态 ， 如 图 3-33 所 示 。 





68.10.4 with 32 








3-33 ”PC2 与 Server 之 间 处 于 连通 状态 
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六 ”3.2.7 端口 隔 离 任务 总 结 


机 针对 某 公 司 办 公 区 网 络 改 造 任务 的 内 容 和 目标 ， 根 据 需 求 分 析 进 行 了 实 训 的 规划 和 实 
列 施 ， 通 过 本 任务 进行 了 交换 机 的 端口 隔离 技术 配置 交换 机 的 服务 。 通 过 端口 隔离 技术 ， 使 
公司 普通 办 公 区 电脑 之 间 的 通信 被 隔离 ， 但 均 可 以 与 服务 器 进行 通信 ， 实 现 了 资源 共享 ， 
提高 了 网 络 的 安全 性 ， 也 方便 了 网 络 管理 员 进 行 网 络 管理 。 
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3.3 任务 3: 公司 局 域 网 端口 绑 定 


3.3.1 局 域 网 端口 绑 定 任务 描述 


某 公司 构建 自己 的 内 部 企业 网 ， 每 个 员工 都 有 一 台 办 公 电 脑 ， 主 机 规模 近 100 台 ， 
部 可 以 实现 通信 和 资源 共享 。 公 司 的 网 络 管理 员 为 了 方便 管理 网 络 ， 并 提高 网 络 安全 性 ， 
希望 公司 中 的 每 一 个 员工 都 分 配 固定 的 瑟 地 址 和 固定 的 位 置 。 一 旦 员工 擅自 修改 电脑 的 位 
置 和 IP 地 址 ， 将 不 能 上 网 ， 也 不 能 与 内 部 员工 进行 通信 ， 以 方便 网 络 工程 师 管理 和 维护 公 
司 网 络 ， 同 时 提高 网 络 的 安全 性 和 可 靠 性 。 请 你 规划 并 实施 网 络 。 








3.3.2 局域网 端口 绑 定 任务 目标 与 目的 


1. 任务 目标 

针对 该 公司 的 网 络 需 求 ， 进 行 网 络 规划 设计 ， 通 过 端口 绑 定 技术 实现 对 接 入 网 络 的 用 
户主 机 进行 瑟 地 址 、 接 入 端口 等 参数 的 绑 定 ， 降 低 网 络 用 户 的 自由 度 。 一 旦 员工 擅自 修改 
电脑 的 位 置 和 王 地 址 ， 将 不 能 上 网 ， 也 不 能 与 内 部 员工 进行 通信 ， 以 方便 网 络 工程 师 管理 
和 维护 公司 网 络 ， 同 时 提高 网 络 的 安全 性 和 可 靠 性 。 

2. 任务 目的 

通过 本 任务 进行 交换 机 的 端口 绑 定 配置 ， 以 帮助 读者 在 深入 了 解 交 换 机 的 基础 上 ， 具 
备 利用 端口 绑 定 技术 实现 网 络 用 户 绑 定 ， 降 低 网 络 用 户 的 自由 度 ， 提 高 网 络 安全 性 ， 方 便 
网 络 管理 的 能 力 。 


























3.3.3 局域网 端口 绑 定 任务 需求 与 分 析 


1. 任务 需求 

某 公 司 构建 了 自己 的 内 部 网 络 ， 主 机 规模 近 100 台 。 从 网 络 安全 和 方便 管理 的 角度 考 
虑 ， 网 络 工程 师 为 每 位 员工 分 配 了 国定 的 瑟 地 址 ， 要 求 员工 只 能 在 自己 的 电脑 上 使 用 指定 
的 他 地 址 才能 够 接 入 网 络 ， 一 旦 修改 了 了 P 地 址 ， 或 者 将 瑟 地 址 借用 给 其 他 员工 将 无 法 接 
入 网 络 。 

2. 需求 分 析 

需求 1: 公司 的 每 台电 脑 只 能 使 用 指定 的 也 地 址 才能 上 网 ， 一 旦 修改 了 地 址 ， 或 把 卫 
地 址 借 给 其 他 员工 使 用 ， 都 无 法 上 网 。 

分 析 1: 通过 端口 绑 定 技术 对 网 络 用 户 进行 严格 控制 ， 降 低 其 自由 度 ， 实 现 每 个 网 络 
用 户 只 能 使 用 自己 的 PC 及 固定 的 他 地 址 才能 接 入 公司 网 络 ， 从 而 提高 网 络 的 安全 性 ， 也 
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方便 网 络 管理 员 对 网 络 进行 管理 和 控制 。 
根据 任务 需求 和 需求 分 析 ， 组 建 公司 办 公 区 的 网 络 结构 ， 如 图 3-34 所 示 。 











图 3-34 公司 办 公 区 的 网 络 结构 
3.3.4 ”端口 绑 定 知识 链接 


1. 端口 绑 定 的 基本 概念 

端口 绑 定 技术 ， 即 将 主机 MAC 地 址 、 主 机 人 P 地 址 和 交换 机 的 端口 等 三 个 要 素 进行 绑 
定 ， 实 现 对 设备 转发 报 文 进行 过 滤 ， 提 高 安全 性 。 通 俗 地 讲 ， 交 换 机 的 端口 绑 定 ， 就 是 把 
交换 机 的 某 一 个 端口 和 下 面 所 连接 的 电脑 的 MAC 地 址 绑 定 ， 这 样 即 使 有 别 的 电脑 偷偷 地 
连接 到 这 个 端口 也 是 不 能 使 用 的 ， 或 者 是 用 户 私自 更 改 人 P 地 址 也 无 法 接 入 网 络 。 

2. 端口 绑 定 实现 原理 

端口 绑 定 技术 一 般 是 网 络 工程 师 通过 手工 方式 在 交换 机 内 部 配置 “MAC+IP+ 端 口 ”的 
绑 定 表 。 交 换 机 收 到 报 文 后 ， 检 测报 文 源 MAC、 源 下 地 址 与 交换 机 内 部 的 绑 定 表 是 否 一 
致 。 如 果 一 致 ， 交 换 机 的 端口 将 转发 该 报 文 ， 如 果 不 一 致 ， 交 换 机 的 端口 将 丢弃 该 报 文 。 
端口 绑 定 实现 原理 如 图 3-35 所 示 。 





PCA PCB PCC 
MAC:0001-0201-2123 。 MAC:00010401-2126 cMAC:0002-0261-2562 
IP:10.1.1.1/24 IP:10.2.1.1/24 IP:10.3.1.1/24 


3-35 ”端口 绑 定 实现 原理 
如 图 3-35 所 示 , 在 交换 机 内 部 已 经 通过 手工 方式 生成 了 一 个 “MAC+IP+ 端 口 ” 的 绑 定 
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表 。 交 换 机 检测 每 个 端口 收 到 的 报 文 的 源 MAC 地 址 、 源 他 地 址 等 参数 。 检 测 结果 分 析 
如 下 。 

1)”E1/0/2 端口 

从 E1/0/2 端口 收 到 的 报 文 ， 交 换 机 检测 其 源 MAC 地 址 、 源 人 P 地 址 ， 发 现 虽然 源 下 
地 址 与 该 端口 绑 定 的 卫 地 址 一 致 ， 但 源 MAC 地 址 与 该 端口 绑 定 的 MAC 地址 不 一 致 。 
此 ， 交 换 机 将 丢弃 该 报 文 ， 即 PCA 不 能 接 入 网 络 。 

2)”E1/0/3 端口 

从 E1/0/3 端口 收 到 的 报 文 ， 交 换 机 检测 其 源 MAC 地 址 、 源 他 地址， 发 现 两 者 均 和 该 
端口 绑 定 的 MAC 地 址 、IP 地 址 一 致 。 因 此 ， 交 换 机 将 转发 该 报 文 ， 即 PCB 被 允许 接 入 
网 络 。 

3)”E1/0/4 端口 

从 E1/0/4 端口 收 到 的 报 文 , 交换 机 检测 其 源 MAC 地 址 、 源 瑟 地址, 发 现 虽 然 源 MAC 
地 址 与 该 端口 绑 定 的 MAC 地 址 一 致 ， 但 源 瑟 地 址 与 该 端口 绑 定 的 卫 地 址 不 一 致 。 因 此 ， 
交换 机 将 丢弃 该 报 文 ， 即 PCC 被 拒绝 接 入 网 络 。 

3. 端口 绑 定 配置 命令 


H3C 系列 和 Cisco 系列 交换 机 上 配置 端口 绑 定 协议 的 相关 命令 如 表 3-8 所 示 。 


表 3-8 端口 绑 定 配置 命令 














H3C 系列 设备 Cisco 系列 设备 
配置 视图 基本 命令 
配置 端口 安全 系统 视图 Switch(config-if)#switchport 
模式 port-securi 
端口 绑 定 具体 视图 | [swl-Ethernetl/0/2]user- 1 Switch(config-if)#switchport 
bind ip-address port-security mac-address 
192.168.10.2 mac-address E069.9529.ED5D 
E069-9529-ED5D 
兰 
3.3.5 端 口 绑 定 任 务实 施 E1/0/ > E1/0/4 
1. 实施 规划 
1) 实 训 拓 扑 结构 A 
根据 任务 的 需求 与 分 析 ， 端 口 绑 定 实 训 的 拓扑 结构 。 29216810224 192468108/24 
及 网 络 参数 如 图 3-36 所 示 ， 以 PC1、PC2 模拟 公司 的 员 3.36 ”端口 绑 定 实 训 的 拓扑 
工 电脑 。 结构 及 网 络 参数 
2)” 实 训 设 备 
根据 任务 的 需求 和 实 训 拓扑 ， 每 个 实 训 小 组 的 实 训 设 备 配 置 清 单 如 表 3-9 所 示 。 
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表 3-9 实 训 设备 配置 清单 





设备 类 型 设备 型 号 





交换 机 











H3C S3610-28TP | 
| 


计算 机 Windows 2003/Windows 7 











双 绞 线 


3) ”了 P 地 址 规划 
根据 需求 分 析 本 任务 的 他 地 址 规划 及 每 台 主 机 的 MAC 地 址 ， 如 表 3-10 所 示 。 


表 3-10 IP 地 址 规划 及 每 台 主 机 的 MAC 地 址 


设备 | 接口 | iP 地址 | MAC 地 址 


RJ-45 








PC1l E069-9529-ED5D 
PC2 7071-BCF7-AE97 
2. 实施 步骤 
任务 的 实施 步 又 如 下 。 


(1) 根据 实 训 拓扑 图 进行 交换 机 、 计 算 机 的 线 缆 连接 ， 配 置 PC1、PC2 的 他 地 址 。 
(2) 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ” 组 件 程序 通过 串口 连接 到 交换 机 的 


配置 界面 ， 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 8、 奇 偶 校 
验 无 、 数 据 流 控制 无 )。 


端 登录 路 由 器 ， 进 行 任务 的 相关 配置 。 
(4) Sw 1 主要 配置 清单 如 下 。 
-、 初 始 化 配置 


<H3C>system-view 





[H3C]sysname sw1 
二 、 端 口 绑 定 配置 


[Swljinterface Ethernet 1/0/2 

[sw1-Ethernetl/0/2]user-bind ip-address 192.168.10.2 mac-address E069-9529-ED5D 
[sw1-Ethernet1/0/2]quit 

[swllinterface Ethernet 1/0/4 

swl-Ethernetl1/0/4]juser-bind ip-address 192.168.10.3 mac-address 7071-bcf7-ae97 





3.3.6 ”端口 绑 定 任务 验收 


1. 设备 验收 

根据 实 训 拓 扑 图 检查 验收 路 由 器 、 计 算 机 的 线 缆 连接 ， 检 查 PC1、PC2 的 他 地 址 。 
2. 配置 验收 

查看 端口 绑 定 配 置 列表 : 


WI EE 
<H3C> display am user-bind 

Following User address bind have been configured: 

Mac IP Port 

00e0-fc00-5101 10.153.1.1 Ethernet1/0/2 

00e0-fc00-5102 10.153.1.2 Ethernet1/0/4 

Unit 1:Total 2 found, 2 listed. 

Total: 2 found. 


3. 功能 验收 


在 PC1 上 通过 Ping 命令 与 PC2 通信 ， 二 者 处 于 通信 状态 。 如 果 任 意 更 改 一 台 主 机 的 
IP 地 址 ， 通 信 状 态 则 变 为 断 开 ， 如 图 3-37 所 示 。 





ined out 











图 3-37 修改 IP 地 址 前 后 的 网 络 测试 对 比 


在 PC2 上 通过 Ping 命令 与 PC1 通信 ， dpm 如 果 任 意 更 改 一 台 主机 所 
的 交换 机 的 端口 ， 通 信 状 态 则 变 为 断 开 ， 如 图 3-38 所 示 。 


POYS \system32\ cmd ez 





3-38 ”修改 主机 所 连 交 换 机 端口 前 后 的 网 络 测试 对 比 


3.3.7 ”端口 绑 定 任务 总 


针对 某 公 司 办 公 区 网 络 改 造 任务 的 内 容 和 目标 ， 根 据 需 求 分 析 进 行 了 实 训 的 规划 和 实 











这 洪 若 类 手 ” 寺 水 天 从 FHM 驯 如 也 


施 ， 通 过 本 任务 进行 了 交换 机 的 端口 绑 定 技术 配置 。 通 过 端口 绑 定 技术 ， 使 得 一 旦 员工 擅 
自修 改 自 己 计算 机 的 位 置 或 瑟 地 址 ， 将 不 能 上 网 ， 也 不 能 与 内 部 员工 进行 通信 。 可 以 最 大 
程度 降低 网 络 用 户 的 自由 度 ， 方 便 网 络 工程 师 进行 网 络 管理 和 维护 ， 在 一 定 程度 上 也 提高 
了 网 络 的 安全 性 和 可 靠 性 。 


























3.4 任务 4: 企业 网 IP 地 址 安全 管理 


3.4.1 IP 地 址 安全 管理 任务 描述 


某 公司 采 用 当前 主流 的 交换 技术 ， 构 建 了 自己 的 内 部 企业 网 ， 每 位 员工 都 有 一 台 办 公 
计算 机 ， 主 机 规模 近 100 台 ， 内 部 可 以 实现 通信 和 资源 共享 。 为 了 方便 网 络 管理 ， 公 司 网 
络 工程 师 希 望 能 通过 自动 方式 为 网 络 中 的 主机 分 配 瑟 地 址 ， 并 提供 一 定 的 安全 保障 机 制 。 
请 规划 并 实施 网 络 。 














3.4.2 “IP 地址 安全 管理 任务 目标 和 目的 


1. 任务 目标 

针对 该 公司 的 网 络 需求 ， 进 行 网 络 规划 设计 ， 通 过 DHCP、DHCP Snooping 等 技术 为 
该 公司 提供 安全 的 他 地 址 管理 手段 。 

2. 任务 目的 

通过 本 任务 进行 DHCP、DHCP Snooping 的 配置 , 以 帮助 读者 在 深入 了 解 服务 器 DHCP、 
交换 机 DHCP Snooping 配置 的 基础 上 ， 能 够 利用 DHCP、DHCP Snooping 等 技术 管理 公司 
网 络 的 他 地址 ， 在 方便 网 络 管理 的 同时 也 提高 网 络 的 安全 性 ， 并 具备 灵活 运用 的 能 





3.4.3 ”IP 地 址 安全 管理 任务 需求 与 分 析 


1. 任务 需求 

某 公 司 采 用 当前 主流 的 交换 技术 ， 构 建 了 自己 的 内 部 企业 网 ， 每 个 员工 都 有 一 台 办 公 
计算 机 ， 主 机 规模 近 100 台 。 从 安全 和 方便 管理 的 角度 考虑 ， 网 络 管理 员 希 望 能 为 公司 网 
络 提供 安全 的 他 地址 分 配 和 管理 手段 。 即 希望 公司 网 络 既 能 实现 自动 的 了 P 地 址 分 配 管理 ， 
又 能 杜绝 自动 分 配 卫 地 址 安全 性 薄弱 的 问题 ， 具 备 较 好 的 安全 性 。 

2. 需求 分 析 

需求 1: 公司 网 络 具 备 人 P 地 址 的 自动 分 配 和 管理 功能 ， 以 提高 网 络 管理 效率 ， 降 低 网 
络 管理 员 的 工作 负担 。 

分 析 1: 通过 DHCP 协议 实现 卫 地 址 的 自动 分 配 和 管理 。 即 在 网 络 中 部 署 一 台 DHCP 
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服务 器 ， 控 制 整个 公司 网 络 的 人 P 地 址 资源 ， 只 要 网 络 中 的 主机 开机 ， 即 可 自动 从 DHCP 
服务 器 租赁 一 个 地 址 。 

需求 2; 要 求 公司 网 络 自动 分 配 和 管理 卫 地 址 具备 较 好 的 安全 性 。 

分 析 2: DHCP 协议 虽然 实现 了 IP 地 址 的 自动 分 配 和 管理 ， 提 高 了 管理 效率 ， 但 本 身 
缺乏 身份 验证 机 制 ， 无 法 识别 合法 和 非法 的 DHCP 报 文 ， 因 此 安全 性 较 差 。 采 用 DHCP 
Snooping 可 以 有 效 识 别 网 络 中 合法 和 非法 的 DHCP 报 文 ， 保 证 网 络 中 的 主机 只 会 从 合法 的 
DHCP 服务 器 租赁 IP 地 址 ， 从 而 保证 了 网 络 他 地 址 的 安全 。 

根据 任务 需求 和 需求 分 析 ， 组 建 公司 办 公 区 的 网 络 结构 ， 如 图 3-39 所 示 。 
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3-39 ”公司 办 公 区 的 网 络 结构 


3.4.4 ”知识 链接 


1. DHCP 协议 


1) ”DHCP 基本 概念 

DHCP(Dynamic Host Configuration Protocol， 动 态 主机 配置 协议 )， 是 TCP/IP 协议 簇 中 
的 一 种 ， 主 要 用 于 网 络 中 的 主机 请 求 P 地 址 、 默 认 网 关 、DNS 服务 器 地 址 并 将 其 分 配给 主 
机 的 协议 。 DHCP 是 一 种 C/S 协议 ,该 协议 简化 了 客户 机 了 P 地 址 的 配置 和 管理 工作 以 及 其 
他 TCP/IP 参数 的 分 配 。 网 络 中 的 DHCP 服务 器 为 运行 DHCP 的 客户 机 自动 分 配 卫 地 址 和 
与 TCP/IP 相关 的 网 络 配 置信 息 。 

在 较 大 型 的 本 地 网 络 中 ， 或 者 在 用 户 经 常 变更 的 网 络 中 ， 可 以 使 用 DHCP 为 用 户 计算 
机 提供 他 地址。 与 由 网 络 管理 员 为 每 台 工作 站 手工 分 配 IP 地 址 的 做 法 相 比 , 采用 DHCP 
自动 分 配 卫 地 址 的 方法 更 有 效 。DHCP 协议 允许 主机 在 连 入 网 络 时 动态 获取 卫 地 址 。 
主机 连 入 网 络 时 , 联系 DHCP 服务 器 并 请 求 PP 地 址 .DHCP 服务 器 从 已 配置 地 址 范围 (也 
称 为 “地 址 池 ”) 中 选择 一 条 地 址 ， 并 将 其 临时 “ 租 ” 给 主机 一 段 时 间 。DHCP 的 工作 模型 
如 图 3-40 所 示 。 
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服务 器 ， 控 制 整个 公司 网 络 的 人 P 地 址 资源 ， 只 要 网 络 中 的 主机 开机 ， 即 可 自动 从 DHCP 
服务 器 租赁 一 个 地 址 。 

需求 2; 要 求 公司 网 络 自动 分 配 和 管理 卫 地 址 具备 较 好 的 安全 性 。 

分 析 2: DHCP 协议 虽然 实现 了 IP 地 址 的 自动 分 配 和 管理 ， 提 高 了 管理 效率 ， 但 本 身 
缺乏 身份 验证 机 制 ， 无 法 识别 合法 和 非法 的 DHCP 报 文 ， 因 此 安全 性 较 差 。 采 用 DHCP 
Snooping 可 以 有 效 识 别 网 络 中 合法 和 非法 的 DHCP 报 文 ， 保 证 网 络 中 的 主机 只 会 从 合法 的 
DHCP 服务 器 租赁 IP 地 址 ， 从 而 保证 了 网 络 他 地 址 的 安全 。 

根据 任务 需求 和 需求 分 析 ， 组 建 公司 办 公 区 的 网 络 结构 ， 如 图 3-39 所 示 。 





HCP Server 





El Al 
机 措 - 


= = 





3-39 ”公司 办 公 区 的 网 络 结构 


3.4.4 ”知识 链接 


1. DHCP 协议 


1) ”DHCP 基本 概念 

DHCP(Dynamic Host Configuration Protocol， 动 态 主机 配置 协议 )， 是 TCP/IP 协议 簇 中 
的 一 种 ， 主 要 用 于 网 络 中 的 主机 请 求 P 地 址 、 默 认 网 关 、DNS 服务 器 地 址 并 将 其 分 配给 主 
机 的 协议 。 DHCP 是 一 种 C/S 协议 ,该 协议 简化 了 客户 机 了 P 地 址 的 配置 和 管理 工作 以 及 其 
他 TCP/IP 参数 的 分 配 。 网 络 中 的 DHCP 服务 器 为 运行 DHCP 的 客户 机 自动 分 配 卫 地 址 和 
与 TCP/IP 相关 的 网 络 配 置信 息 。 

在 较 大 型 的 本 地 网 络 中 ， 或 者 在 用 户 经 常 变更 的 网 络 中 ， 可 以 使 用 DHCP 为 用 户 计算 
机 提供 他 地址。 与 由 网 络 管理 员 为 每 台 工作 站 手工 分 配 IP 地 址 的 做 法 相 比 , 采用 DHCP 
自动 分 配 卫 地 址 的 方法 更 有 效 。DHCP 协议 允许 主机 在 连 入 网 络 时 动态 获取 卫 地 址 。 
主机 连 入 网 络 时 , 联系 DHCP 服务 器 并 请 求 PP 地 址 .DHCP 服务 器 从 已 配置 地 址 范围 (也 
称 为 “地 址 池 ”) 中 选择 一 条 地 址 ， 并 将 其 临时 “ 租 ” 给 主机 一 段 时 间 。DHCP 的 工作 模型 
如 图 3-40 所 示 。 
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3-40 ”DHCP 的 工作 模型 


2) DHCP 的 优点 

DHCP 具有 如 下 优点 。 

(1) 减少 错误 。 可 以 减少 手工 配置 IP 地 址 导致 的 错误 ， 例 如 将 已 分 配 的 IP 地 址 再 次 
分 配给 另 一 设备 引起 的 地 址 冲突 。 

(2) 减少 网 络 管理 。TCP/IP 配置 是 集中 化 和 自动 完成 的 ， 不 需要 手工 配置 ， 可 以 集中 
定义 全 局 和 特定 子 网 的 TCP/IP 配置 。 大 部 分 路 由 器 能 转发 DHCP 配置 请 求 ， 这 就 可 以 避 
免 在 每 个 子 网 设置 DHCP 服务 器 。 客 户 机 配置 的 地 址 必须 经 常 更 新 ， 而 DHCP 能 高 效 且 自 
动 地 进行 配置 。 

3) ”DHCP 系统 的 构成 

一 个 完整 的 DHCP 系统 由 三 大 要 素 构 成 : DHCP 客户 端 、DHCP 服务 器 和 DHCP 中 继 
代理 。DHCP 系统 的 构成 如 图 3-41 所 示 。 















DHCP 服 务 器 


DHCP 中 继 代 
理 服务 器 


3-41 ”DHCP 系统 的 构成 


(1) DHCP 客户 端 ,DHCP 客户 端 通过 DHCP 来 获得 网 络 卫 配置 参数 。 在 一 个 网 络 中 ， 
一 台 PC 只 要 将 瑟 地 址 的 设置 方式 设置 为 “自动 获取 IP 参数 ”， 该 台 PC 就 是 一 台 DHCP 
客户 端 。 

(2) DHCP 服务 器 。DHCP 服务 器 提供 网 络 设置 参数 给 DHCP 客户 。DHCP 服务 器 往 
往 控制 了 整个 网 络 中 的 人 P 地 址 资源 ， 它 本 质 上 是 一 个 IP 地 址 数据 库 ， 存 储 当前 网 络 中 可 
以 分 配 的 所 有 人 P 地 址 资源 。 整 个 网 络 IP 地 址 的 管理 、 分 配 、 维 护 等 工作 就 由 DHCP 服务 
器 承担 。 

(3) DHCP 中 继 代理 。 一 般 是 在 DHCP 客户 和 服务 器 之 间 转 发 DHCP 消息 的 主机 或 
路 由 器 。 只 有 DHCP 客户 端 和 DHCP 服务 器 ， 只 能 实现 同一 网 段 内 部 的 人 P 地 址 分 配 ， 而 
现实 中 的 网 络 往往 被 划分 为 若干 个 逻辑 网 段 ， 要 想 实现 跨 网 段 的 瑟 地 址 分 配 ， 就 需要 
DHCP 中 继 代理 的 支持 。 
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4) DHCP 的 工作 原理 

随 着 网 络 规模 的 不 断 扩 大 和 网 络 复 杂 度 的 提高 ， 计 算 机 的 数量 经 常 超过 可 供 分 配 的 人 P 
地 址 数量 。 同 时 随 着 便携 机 及 无 线 网 络 的 广泛 使 用 ,计算 机 的 位 置 经 常 变化 ， 相 应 的 他 地 
址 也 必须 经 常 更 新 ， 从 而 导致 网 络 配 置 越 来 越 复杂 。DHCP 就 是 为 解决 这 些 问 题 而 发 展 起 
来 的 。 

DHCP 是 基于 “客户 /服务 器 ”模式 的 ， 由 一 台 指定 的 主机 分 配 网 络 地 址 、 传 送 网 络 配 
置 参 数 给 需要 的 网 络 设备 或 主机 。 提 供 DHCP 服务 的 主机 一 般 称 为 DHCP 服务 器 (DHCP 
Server)， 接 收 信息 的 主机 称 为 DHCP 客户 端 (DHCP Client)。 同 时 ，DHCP 还 为 客户 端 提供 
了 一 种 可 从 与 客户 机 位 于 不 同 子 网 的 服务 器 获取 信息 的 机 制 ， 称 为 DHCP 中 继 代理 (DHCP 
Relay) 功 能 。 


[时 提示 : 服务 器 版 操作 系统 、 三 层 交换 机 、 路 由 器 都 可 作为 DHCP 服务 器 提供 DHCP 
服务 。 

为 了 获取 并 使 用 一 个 合法 的 动态 IP 地 址 ， 在 不 同 的 阶段 ，DHCP 客户 端 需要 与 服务 器 
之 间 交 互 不 同 的 信息 。 以 客户 端 第 一 次 登录 网 络 , 通过 DHCP 获取 卫 地 址 为 例 ， 客 户 端 与 
服务 器 的 交互 包括 四 个 阶段 ， 如 图 3-42 所 示 。 在 DHCP 的 工作 过 程 中 ,客户 端 与 服务 器 之 
间 通 过 DHCP 报 文 的 交互 进行 地 址 或 其 他 配置 信息 的 请 求 和 确认 。 

DHCP 客户 机 DHCP Discover DHCP 服务 器 

DHCP Offer 
DHCP Request 


DHCP Ack 

























3-42 DHCP 的 工作 过 程 


(1) 发 现 阶段 DHCP Discover)。 即 DHCP 客户 机 寻找 DHCP 服务 器 的 阶段 。 当 客户 机 
第 一 次 启动 时 ， 没 有 IP 地 址 ， 也 不 知道 DHCP 服务 器 的 地 址 。 此 时 发 送 以 0.0.0.0 为 源 地 
址 ，255.255.255.255 为 目标 地 址 的 DHCP Discover 信息 。DHCP Discover 信息 中 包含 客户 
机 的 网 卡 地 址 和 计算 机 名 称 ， 以 便 让 DHCP 服务 器 清楚 是 哪个 客户 机 在 发 送 。 

(2) 提供 阶段 DHCP Offen). 即 DHCP 服务 器 提供 他 地址 的 阶段 , 收 到 DHCP Discover 
信息 的 DHCP 服务 器 随即 发 送 DHCP Offer 信息 ， 表 示 可 以 提供 耳 租赁 。 此 时 的 客户 机 没 
有 IP 地 址 。 因 此， 这 条 消息 也 是 以 广播 形式 发 布 。DHCP Offer 中 包含 客户 机 的 网 卡 地 址 、 
提供 的 他 地址 、 子 网 掩 码 和 DHCP 服务 器 的 标识 等 信息 。 

(3) 选择 阶段 (DHCP Request)。 即 DHCP 客户 机 选择 某 台 DHCP 服务 器 提供 的 卫 地 址 
的 阶段 。 客 户 机 从 收 到 的 第 一 条 DHCP Offer 中 选择 他 地址， 然后 向 所 有 DHCP 服务 器 广 
播 DHCP Request 信息 ， 表 明 接 受 此 DHCP Offer 信息 。 其 他 的 DHCP 服务 器 则 撤销 提供 ， 
并 释放 保留 的 他 地址 ， 以 便 使 其 可 以 提供 给 下 一 个 地 址 租用 。 

(4) 确认 阶段 (DHCP Ack)。 即 DHCP 服务 器 确认 所 提供 的 人 P 地 址 的 阶段 。 当 DHCP 
服务 器 收 到 DHCP 客户 机 回答 的 DHCP Request 信息 后 ， 它 便 向 DHCP 客户 机 发 送 一 个 包 
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含 它 所 提供 的 他 地址 和 其 他 设置 的 DHCP Ack 信息 , 告诉 DHCP 客户 机 可 以 使 用 它 所 提供 
的 下 地 址 。 然 后 DHCP 客户 机 便 将 获取 的 他 地 址 与 网 卡 绑 定 。 另 外 ， 除 DHCP 客户 机 选 
中 的 服务 器 外 ， 其 他 DHCP 服务 器 都 将 收回 曾 提供 的 卫 地 址 。 

采用 动态 地 址 分 配 策略 时 ，DHCP 服务 器 分 配给 客户 端的 了 P 地 址 有 一 定 的 租借 期 限 ， 
当 租借 期 满 后 服务 器 会 收回 该 卫 地 址 。 如果 DHCP 客户 端 希望 延长 使 用 该 地 址 的 期 限 , 需 
要 更 新 了 P 地 址 租约 。 

在 DHCP 客户 端的 IP 地 址 租约 期 限 达到 一 半 时 间 时 ，DHCP 客户 端 会 向 为 它 分 配 人 P 
地 址 的 DHCP 服务 器 单 播发 送 DHCP Request 报 文 ， 以 进行 全 租约 的 更 新 。 如 果 客 户 端 可 
以 继续 使 用 此 IP 地 址 ， 则 DHCP 服务 器 回应 DHCP Ack 报 文 ， 通 知 DHCP 客户 端 已 经 获 
得 新 的 他 租约 ; 如 果 此 IP 地 址 不 可 以 再 分 配给 该 客户 端 , 则 DHCP 服务 器 回应 DHCP Nak 
报 文 , 通知 DHCP 客户 端 不 能 获得 新 的 租约 。 如 果 在 租约 的 一 半 时 间 进 行 的 续 约 操作 失败 ， 
DHCP 客户 端 会 在 租约 期 限 达 到 7/8 时 ， 广 播发 送 DHCP Request 报 文 进行 续 约 。 

5) ”DHCP 作用 域 

DHCP 作用 域 是 DHCP 服务 器 为 客户 端 计 算 机 分 配 IP 地 址 的 重要 功能 , 主要 用 于 设置 
分 配 的 PP 地 址 范围 、 需 要 排除 的 IP 地 址 、IP 地 址 租约 期 限 等 信息 。 必 须 创建 作用 域 才能 
让 DHCP 服务 器 分 配 IP 地 址 给 DHCP 客户 端 。 

DHCP 服务 器 会 根据 接收 到 DHCP 客户 端 租约 请 求 的 网 络 接 口 来 决定 哪个 DHCP 作用 
域 为 DHCP 客户 端 分 配 IP 地 址 租约 ,决定 的 方式 如 下 : DHCP 服务 器 将 接收 到 租约 请 求 的 
网 络 接口 的 主 PP 地址 和 DHCP 作用 域 的 子 网 掩 码 相 与 ， 如 果 得 到 的 网 络 ID 和 DHCP 作用 
域 的 网 络 ID 一 致 ， 则 使 用 此 DHCP 作用 域 为 DHCP 客户 端 分 配 IP 地 址 租约 ， 如 果 没有 匹 
配 的 DHCP 作用 域 ， 则 不 对 DHCP 客户 端的 租约 请 求 进行 应 答 。 

DHCP 作用 域 定义 的 他 地 址 范围 是 连续 的 ， 并 且 每 个 子 网 只 能 有 一 个 作用 域 。 如 果 想 
要 使 用 单个 子 网 内 不 连续 的 I 了 P 地 址 范围 , 则 必须 先 定 义 作用 域 , 然后 设置 所 需 的 排除 范围 。 
DHCP 作用 域 中 为 DHCP 客户 端 分 配 的 了 P 地 址 不 能 被 其 他 主机 所 占用 , 否则 必须 对 DHCP 
作用 域 设 置 排除 选项 ， 将 已 被 其 他 主机 使 用 的 卫 地 址 排除 在 此 DHCP 作用 域 之 外 。 

作用 域 具有 以 下 属性 。 

(1) 租用 给 DHCP 客户 端的 人 P 地 址 范围 ， 可 在 其 中 设置 排除 选项 ， 设 置 为 排除 的 人 Pp 
地 址 将 不 分 配给 DHCP 客户 端 使 用 。 

(2) 子 网 掩 码 ， 用 于 确定 给 定 IP 地 址 的 子 网 ， 此 选项 创建 作用 域 后 无 法 修改 。 

(3) 创建 作用 域 时 指定 的 名 称 。 

(4) 租约 期 限 值 ， 即 分 配给 DHCP 客户 端的 IP 地 址 的 使 用 期 限 。 当 客户 机 使 用 的 下 
地 址 时 间 超 过 了 租 期 ， 服 务 器 将 收回 分 配给 客户 机 的 卫 地 址 。 

(5) DHCP 作用 域 选项 ， 如 DNS 服务 器 、 路 由 器 他 地 址 和 WINS 服务 器 地 址 等 。 

(6) 保留 (可 选 )， 用 于 确保 某 个 确定 MAC 地 址 的 DHCP 客户 端 总 是 能 从 此 DHCP 服 
务 器 获得 相同 的 他 地 址 。 

6) DHCP 中 继 代理 

由 于 在 IP 地 址 动态 获取 过 程 中 采用 广播 方式 发 送 报 文 ， 而 路 由 器 会 隔离 广播 ， 因 此 
DHCP 只 适用 于 DHCP 客户 端 和 服务 器 处 于 同一 个 子 网 的 情况 。 在 默认 情况 下 ， 一 个 物理 
子 网 中 的 DHCP 服务 器 无 法 为 其 他 物理 子 网 中 的 DHCP 客户 端 分 配 IP 地 址 ， 如 果 要 为 多 
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个 网 段 进行 动态 主机 配置 ， 需 要 在 所 有 网 段 上 都 设置 一 个 DHCP 服务 器 ， 这 显然 是 很 不 经 
济 和 实用 的 。 为 了 使 网 络 中 所 有 的 DHCP 客户 端 都 能 获得 IP 地 址 租约 ， 可 以 采用 DHCP 
中 继 代理 (DHCP Relay Agenb， 这 样 不 用 在 每 个 物理 网 段 都 设置 DHCP 服务 器 ， 它 可 以 将 
客户 机 的 消息 传递 到 不 在 同一 个 物理 子 网 的 DHCP 服务 器 ， 也 可 以 将 服务 器 的 消息 传 回 给 
不 在 同一 个 物理 子 网 的 DHCP 客户 机 。 跨 子 网 的 DHCP 中 继 代理 的 典型 应 用 如 图 3-43 所 示 。 


wer pe DHCP 服 务 器 
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3-43” 跨 子 网 的 DHCP 中 继 代理 的 典型 应 用 


DHCP 中 继 代理 的 工作 过 程 是 修改 DHCP 消息 中 的 相应 字段 ， 把 DHCP 的 广播 包 改 成 
单 播 包 , 并 负责 在 服务 器 与 客户 机 之 间 转 换 。 DHCP 中 继 代 理 的 具体 工作 过 程 如 图 3-44 所 示 。 
DHCP 客户 机 DHCP 中 继 代 理 DHCP 服务 器 
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3-44 DHCP 中 继 代理 的 工作 过 程 


具有 DHCP 中 继 功 能 的 网 络 设备 (通常 是 路 由 器 ) 收 到 DHCP 客户 端 以 广播 方式 发 送 
的 DHCP DISCOVER 或 DHCP REQUEST 报 文 后 ,将 报 文中 的 giaddr 字段 填充 为 DHCP 中 
继 的 他 地 址 ， 并 根据 配置 将 报 文 单 播 转发 给 指定 的 DHCP 服务 器 。 

DHCP 服务 器 根据 giaddr 字段 为 客户 端 分 配 IP 地 址 等 参数 ， 并 通过 DHCP 中 继 将 配 
置信 息 转 发 给 客户 端 ， 完 成 对 客户 端的 动态 配置 。 

7) ” DHCP 报 文 

DHCP 客户 端 `.DHCP 服务 器 和 DHCP 中 继 代 理 三 大 要 素 要 完成 人 P 地 址 的 租赁 、 回 收 、 
续 租 、 地 址 释放 等 功能 ， 主 要 是 通过 交换 若干 报 文 来 实现 。 具 体 而 言 ，DHCP 系统 中 主要 
有 七 大 报 文 ， 具 体 介绍 如 图 3-45 所 示 。 
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协议 报 文 。 | 报 文 方向 作用 报 文 类 型 
DHCP Client 到 
Discover Server 客户 端 发 现 服务 器 广播 
Server 到 服务 器 对 DHCP 
DHeP on || ewant Discover 报 文 的 回应 | 广播 或 单反 
DHCP Request | Suentl | 服务 器 选择 及 和 期 更 新 | 单 播 或 广播 


Server 


Client 到 。 | 请 求 释放 已 经 获得 的 IP 
DHCP Release Su 地 址 资源 或 取消 租 其 单 播 





服务 器 对 收 到 的 请 求 报 单 揪 
文 的 最 终 的 确认 


拒绝 所 获得 的 IP 地 址 广播 


Client 到 | 向 DHCP 服 务 器 索要 其 他 
DHCP Inform | Server 。 | 的 配置 参数 aa 


DHCP AckINak 


Client 到 
Server 


DHCP Decline 




















图 3-45 DHCP 报 文 

2. DHCP Snooping 

1) DHCP 协议 漏洞 

DHCP 是 在 网 络 中 提供 动态 地 址 分 配 服务 的 协议 , 采用 DHCP Server 可 以 自动 为 用 户 
设置 网 络 PP 地 址 、 掩 码 、 网 关 、DNS 等 网 络 参数 ， 简 化 了 用 户 网 络 设 置 ， 提 高 了 管理 效 
率 。 但 由 于 DHCP 自身 的 协议 和 运作 机 制 ， 通 常服 务 器 和 客户 端 没 有 认证 机 制 ， 因 此 会 被 
攻击 者 利用 ， 产 生 网 络 安全 问题 。 攻 击 者 可 以 在 网 络 中 私自 架设 非法 的 DHCP 服务 器 ， 客 
户 端 将 有 可 能 从 非法 的 DHCP 服务 器 获取 网 络 参数 ， 导 致 客户 端 不 能 正常 访问 网 络 资源 。 
网 络 上 如 果 存 在 多 台 DHCP 服务 器 将 会 给 网 络 造成 混乱 ， 这 种 现象 被 称 为 DHCP 欺骗 或 
Rogue( 无 赖 )DHCP 攻击 。 另 外 一 种 利用 DHCP 攻击 的 攻击 类 型 是 DHCP Dos(Denial of 
Service, 拒绝 服务 ) 攻 击 。 攻 击 者 通过 发 送 大 量 的 欺骗 DHCP Discover 报 文 向 DHCP 服务 器 
请 求 IP 地 址 ， 导 致 DHCP 服务 器 中 的 地 址 被 迅速 耗 尽 ， 使 得 其 无 法 正常 为 客户 端 分 配 人 Pp 
参数 ， 造 成 客户 端 网 络 中 断 。 

2) ”DHCP Snooping 的 基本 概念 

DHCP 监听 (DHCP Snooping) 是 交换 机 的 一 种 安全 特性 ， 它 能 通过 过 滤 网 络 中 接 入 的 非 
法 DHCP 服务 器 发 送 的 DHCP 报 文 增强 网 络 安全 性 , DHCP 监听 还 可 以 检查 DHCP 客户 端 
发 送 的 DHCP 报 文 的 合法 性 ， 防 止 DHCP Dos 攻击 。 交 换 机 通过 开启 DHCP 监听 特性 ， 从 
DHCP 报 文中 提取 关键 信息 (包括 卫 地 址 、MAC 地 址 、vlan 号 、 端 口号 、 租 期 等 )， 并 把 这 
些 信 息 保存 到 DHCP 监听 绑 定 表 中 。DHCP 监听 只 将 交换 机 连接 到 合法 DHCP 服务 器 的 
端口 设置 为 信任 端口 ， 其 他 端口 设置 为 非 信任 端口 ， 限 制 用 户 端口 ( 非 信任 端口 ) 只 能 够 发 
送 DHCP 请 求 ， 丢 弃 来 自用 户 端口 的 所 有 其 他 DHCP 报 文 ， 如 DHCP Offer 报 文 等 。 而且， 
并 非 所 有 来 自用 户 端口 的 DHCP 请 求 都 被 允许 通过 , 交换 机 还 会 比较 DHCP 请 求 报 文 里 的 
源 MAC 地 址 和 报 文 内 容 里 的 DHCP 客户 机 的 硬件 地 址 ， 只 有 这 两 者 相同 的 请 求 报 文才 会 
被 转发 ， 否 则 将 被 丢弃 。 

3) ” DHCP Snooping 的 作用 

DHCP Snooping 是 DHCP 的 一 种 安全 特性 ， 具 有 如 下 功能 。 

(1) 保证 客户 端 从 合法 的 服务 器 获取 IP 地 址 。 

网 络 中 如 果 存 在 私自 架设 的 伪 DHCP 服务 器 , 则 可 能 导致 DHCP 客户 端 获取 错误 的 人 P 
地 址 和 网 络 配置 参数 ， 无 法 正常 通信 。 
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(2) 记录 DHCP 客户 端 他 地 址 与 MAC 地 址 的 对 应 关系 。 

DHCP Snooping 通过 监听 DHCP Request 和 信任 端口 收 到 的 DHCP Ack 广播 报 文 , 记录 
DHCP Snooping 表 项 ， 其 中 包括 客户 端的 MAC 地 址 、 获 取 到 的 他 地 址 、 与 DHCP 客户 端 
连接 的 端口 及 该 端口 所 属 的 VLAN 等 信息 。 利 用 这 些 信 息 可 以 实现 以 下 内 容 。 

@ ARP Detection: 根据 DHCP Snooping 表 项 来 判断 发 送 ARP 报 文 的 用 户 是 否 合法 ， 
从 而 防止 非法 用 户 的 ARP 攻击 。 

@) ”IP Source Guard: 通过 动态 获取 DHCP Snooping 表 项 对 端口 转发 的 报 文 进行 过 滤 ， 
防止 非法 报 文通 过 该 端口 。 

4) ”DHCP Snooping 实现 原理 

为 了 使 DHCP 客户 端 通过 合法 的 DHCP 服务 器 获取 IP 地 址 ，DHCP Snooping 安全 机 
制 允 许 将 端口 设置 为 信任 端口 和 不 信任 端口 。 

(1) 信任 端口 ， 正 常 转发 接收 到 的 DHCP 报 文 。 

(2) 不 信任 端口 : 接收 到 DHCP 服务 器 响应 的 DHCP Ack 和 DHCP Offer 报 文 后 ， 丢 
弃 该 报 文 。 

连接 DHCP 服务 器 和 其 他 DHCP Snooping 设备 的 端口 需要 设置 为 信任 端口 , 其 他 端口 
设置 为 不 信任 端口 ， 从 而 保证 DHCP 客户 端 只 能 从 合法 的 DHCP 服务 器 获取 人 P 地 址 ， 私 
自 架 设 的 伪 DHCP 服务 器 无 法 为 DHCP 客户 端 分 配 IP 地 址 。DHCP Snooping 信任 端口 典 
型 的 应 用 场景 如 图 3-46 所 示 。 
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图 3-46 ”DHCP Snooping 信任 端口 典型 的 应 用 场景 


如 图 3-46 所 示 , 连接 DHCP 服务 器 的 端口 需要 配置 为 信任 端口 ， 以 便 DHCP Snooping 
设备 正常 转发 DHCP 服务 器 的 应 答 报 文 , 保证 DHCP 客户 端 能 够 从 合法 的 DHCP 服务 器 获 
取 了 全 地 址 。 

5) ”DHCP Snooping 级 联网 络 

在 多 个 DHCP Snooping 设备 级 联 的 网 络 中 , 与 其 他 DHCP Snooping 设备 相连 的 端口 需 
要 配置 为 信任 端口 。 

在 这 种 网 络 环境 中 ， 为 了 节省 系统 资源 ， 不 需要 每 台 DHCP Snooping 设备 都 记录 所 有 
DHCP 客户 端的 他 地 址 和 MAC 地 址 绑 定 ， 只 需要 在 与 客户 端 直接 相连 的 DHCP Snooping 
设备 上 记录 绑 定 信息 。 通 过 将 间接 与 DHCP 客户 端 相连 的 信任 端口 配置 为 不 记录 他 地 址 和 





© 








(CG@》 > 计算 机 网 络 安全 与 管理 项 目 教程 





MAC 地 址 绑 定 ， 可 以 实现 该 功能 。 如 果 DHCP 客户 端 发 送 的 请 求 报 文 从 此 类 信任 端口 到 
达 DHCP Snooping 设备 ,DHCP Snooping 设备 不 会 记录 客户 端 耳 地址 和 MAC 地 址 的 绑 定 。 
DHCP Snooping 级 联 组 网 如 图 3-47 所 示 。 

图 3-47 中 设备 各 端口 的 角色 如 表 3-11 所 示 。 









DHCP client 
DHCP server 
Host A DHCP snooping Device 
Switch A 
中 ca df 全 ev SeVyo 
> 
DHCP client GE/O/: 
Host B 
GE1/0/1| 
DHCP client i 
DHCP snoopinl 
ee GE1/0/: ed 


Switch B 


LN 


DHCP client 


Host D 


图 3-47 DHCP Snooping 级 联 组 网 
表 3-11 3-47 中 设备 各 端口 的 角色 
设 备 不 记录 绑 定 信息 的 信任 端口 | 记录 绑 定 信息 的 信任 端口 


Switch A GigabitEthernet1/0/1 GigabitEthernet1/0/3 GigabitEthernet1/0/2 


GigabitEthernet1/0/3 和 四 2 
Switch B Ce GigabitEthernet1/0/1 GigabitEthernet1/0/2 
GigabitEthernetl1/0/4 
. Nn GigabitEthernet1/0/3 和 Me 
Switch C GigabitEthernet1/0/1 A GigabitEthernet1/0/2 
GigabitEthernet1/0/4 


3. 配置 命令 
H3C 系列 和 Cisco 系列 交换 机 上 配置 DHCP Snooping 协议 的 相关 命令 如 表 3-12 所 示 。 





表 3-12 DHCP Snooping 配置 命令 











H3C 系列 设备 Cisco 系列 设备 





启用 DHCP 系统 视图 | [H3C] dhcp-snooping Cisco (config)#ipdhcp 





尝 济 车 煌 和 壮 ” 革 淋 舍 村 者 到 招 巴 








Snooping snooping 

设置 信任 端口 具体 视图 | [H3C-Ethermet1/0/1] 具体 配 Cisco (config-if)#ipdhcp 
dhcp-snooping trust R snooping trust 

DHCP Snooping 具体 视图 | [H3C-Ethemetl/O/1]ip check Cisco (config)#ipdhcp 

MAC 验证 Source ip-address mac-address snooping verify mac-addess 
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3.4.5 ”任务 实施 


1. 实施 规划 

DID 实 训 拓扑 结构 

根据 任务 的 需求 与 分 析 , 实 训 的 拓扑 结构 及 网 络 参数 如 图 3-48 所 示 ， 以 PC1 模拟 公司 
员工 电脑 ，PC2 模拟 公司 非法 DHCP 服务 器 ，DHCP Server 模拟 公司 合法 DHCP 服务 器 。 





DHCP server 
合法 作用 域 : 
.92.168.20.0/24 


E1/0/2 
Trusted| 


非法 作用 域 : 
192.168.10.0/24 





图 3-48 ” 实 训 的 拓扑 结构 及 网 络 参数 
2)” 实 训 设 备 
根据 任务 的 需求 和 实 训 拓 扑 ， 每 个 实 训 小 组 的 实 训 设备 配置 清单 如 表 3-13 所 示 。 
表 3-13” 实 训 设 备 配 置 清单 


设备 类 型 量 
交换 机 H3C S3610-28TP 
RCI Windows 2003/Windows 7 











PC2( 非 法 DHCP) Win 2008 
DHCP Server Win 2008 
双 绞 线 RJ-45 


3) ”IP 地 址 规划 
根据 需求 分 析 本 任务 的 他 地址 规划 ， 如 表 3-14 所 示 。 


表 3-14 IP 地 址 规划 


PC1 自动 获取 


PC2 


192.168.10.2/24 
Server 192.168.20.2/24 
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2. 实施 步骤 


任务 的 实施 步骤 如 下 。 

1) 根据 实 训 拓扑 图 进行 交换 机 、 计 算 机 的 线 线 连 接 ， 配 置 PC2、DHCP Server 的 人 P 
地 址 

2) “部 署 合法 DHCP 服务 器 

(1) 安装 DHCP 服务 组 件 。 

首先 为 合法 DHCP 服务 器 设置 IP 地 址 ， 然 后 开始 安装 DHCP 服务 组 件 。 在 桌面 左下 
角 单 击 “ 服 务 器 管理 器 ”图 标 ， 打 开 “ 服 务 器 管理 器 ”窗口 ， 如 图 3-49 所 示 。 

双击 “角色 ”选项 ， 打 开 “ 和 角色 ”窗口 ， 此 时 可 以 看 到 该 台 主机 所 安装 的 服务 种 类 ， 
单 击 “ 添 加 角色 ”按钮 ， 如 图 3-50 所 示 ， 即 可 打开 “添加 角色 向 导 ” 对 话 框 。 

单 击 “ 下 一 步 ”按钮 打开“ 选择 服务 器 角色 ”对 话 框 ， 选 中 “DHCP 服务 器 ” 复 选 
框 ， 如 图 3-51 所 示 。 
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3-49 “服务 器 管理 器 ”窗口 


诡 件 四 所 作 W 全 看 0) 上 | 
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图 3-50 单 击 “ 添 加 角色 ”按钮 





由 ES 








图 3-51 选择 “DHCP 服务 器 ”角色 类 型 
连续 单 击 “ 下 一 步 ” 按 钮 ， 在 打开 的 若干 个 对 话 框 中 ， 均 采用 空白 设置 (主要 有 设置 卫 


地 址 范围 、DNS 服务 器 地 址 、 网 关 等 ， 这 些 可 以 在 后 面 创建 作用 域 时 设置 )。 最 后 单 击 “ 安 
装 ” 按 钮 ， 即 可 开始 安装 DHCP 组 件 ， 如 图 3-52 所 示 。 














em) EP w | 
3-52 安装 DHCP 组 件 
DHCP 服务 组 件 的 安装 过 程 如 图 3-53 所 示 。 


FARRITAE ,ASHSRYE 
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图 3-53 ”DHCP 服务 组 件 的 安装 过 程 
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潼 洲 甘 粮 半 ” 填 潍 谍 舍 寺 坟 到 招 巴 


最 后 单 击 “ 关 闭 ” 按 钮 ， 即 可 完成 DHCP 组 件 的 安装 ， 如 图 3-54 所 示 。 





EE 





Fs 同和 和 的 下 条 < 和 和 请 
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3-54 完成 DHCP 组 件 的 安装 


完成 DHCP 组 件 安装 后 ， 一 定 要 将 “服务 器 管理 器 ”窗口 关闭 ， 再 重新 打开 ， 以 便 让 
其 完成 初始 化 配置 。 

(2) 创建 作用 域 。 

安装 完成 DHCP 组 件 后 ， 就 需要 创建 作用 域 了 ， 作 用 域 包含 DHCP 服务 器 可 以 提供 的 


IP 地 址 范 








用 








， 一 般 情况 是 一 个 网 段 设置 一 个 作用 域 (当然 也 有 例外 ， 如 超级 作用 域 )。 此 处 


就 只 有 一 个 网 段 ， 因 此 ， 我 们 只 需要 设置 一 个 作用 域 。 设 置 作用 域 的 方法 如 下 。 
通过 “服务 器 管理 器 ”窗口 展开 “角色 ”选项 ， 此 时 可 以 看 到 我 们 刚才 安装 的 DHCP 
组 件 已 经 在 系统 中 显示 ， 如 图 3-55 所 示 。 
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3-55 “角色 ”界面 中 显示 “DHCP 服务 器 ”组 件 
选择 “DHCP 服务 器 ”选项 ， 即 可 打开 “DHCP 服务 器 ”界面 ， 在 此 窗口 中 依次 展开 





“DHCP 服务 器 ”、 服 务 器 的 名 字 ( 此 处 为 Win2008-03)、IPv4 等 选项 ， 如 图 3-56 所 示 。 
选中 IPv4 选项 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 作 用 域 ” 命 令 ， 如 图 3-57 


所 示 。 
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3-56 展开 DHCP 选项 
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3-57 选择 “新 建 作 用 域 ”命令 
此 时 打开 “新 建 作 用 域 向 导 ” 对 话 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 作 用 域名 称 ” 界 


， 在 此 界面 中 设置 作用 域 的 名 称 (一 般 而 言 ， 在 实际 应 用 中 ， 一 个 作用 域 代 表 一 个 网 段 ， 


网 络 管理 员 在 进行 网 络 管理 时 ， 往 往 需要 通过 作用 域名 称 来 识别 该 作用 域 究 竟 是 为 哪个 网 
段 提供 IP 地 址 租赁 服务 ， 因 此 作用 域 的 名 称 应 该 统一 规划 )， 此 处 我 们 将 作用 域名 称 设置 


为 office-01， 如 图 3-58 所 示 。 


“描述 ”部 分 是 对 该 作用 域 的 描述 性 文字 ， 此 处 为 空 。 


单 击 “ 下 一 步 ” 按 钮 ， 打 开 “IP 地 址 范围 ”界面 ， 在 此 界面 中 设置 作用 域 可 以 分 配 的 
IP 地 址 范围 。 此 处 我 们 设置 为 192.168.20.1~192.168.20.254， 子 网 掩 码 采 用 24 位 掩 码 ， 如 
图 3-59 所 示 。 

















作用 域名 称 s 
您 必须 提供 一 个 用 于 识别 的 作用 域名 称 。 您 还 可 以 提供 一 个 描述 同 选 ) 。 ] 


Wu 
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3-58 设置 作用 域 的 名 称 


《上 - 步 ®) 取消 





图 3-59 


设置 作用 域 的 IP 地 址 范围 


单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 添 加 排除 ”界面 ， 在 此 界面 中 设置 刚才 设置 的 了 P 地 址 范 
围 中 ， 有 哪些 卫 地 址 不 想 用 于 分 配 。 此 处 我 们 设置 排除 的 地 址 范围 为 
192.168.20.20~192.168.20.30。 当 然 ， 此 处 也 可 以 不 设置 。 设 置 完 排除 范围 地 址 以 后 一 定 要 
单 击 “ 添 加 ”按钮 ， 此 时 在 “排除 的 地 址 范围 ”列表 框 中 会 生成 一 条 排除 地 址 的 记录 ， 才 
表明 地 址 排除 设置 成 功 ， 如 图 3-60 所 示 。 
设置 完 排除 的 地 址 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 设 置地 址 租 期 ，Windows Server 2008 操 
作 系 统 对 于 DHCP 的 租 期 默认 为 8 天 ， 在 此 界面 中 可 以 进行 修改 。 一 般 对 于 网 络 结构 比较 
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稳定 的 网 络 , 为 了 避免 DHCP 客户 端 频 繁 地 向 服务 器 发 送 续 租 IP 地 址 的 请 求 而 浪费 网 络 资 
源 ， 建 议 尽 量 将 租 期 设置 得 长 一 点 ;对 于 网 络 结构 频繁 变动 的 网 络 ， 为 了 能 更 好 地 回收 正 








地 址 , 节约 人 P 地 址 , 建议 尽量 将 租 期 设置 得 短 一 点 。 此 处 , 保持 默认 的 8 天 租 期 , 如 图 3-61 
所 示 。 
es 7 
Pd i 


起 析 TP 地 相信 ) 蛙 襄 他 把 址 全 ) 





[i 位 置 辐 定 的 由 络 来 说 ， 设 置 殉 长 的 租 


设置 服务 器 分 本 的 作用 域 租 下 期 限 ~ 







卫 
天 四 :4 时 中: 分 钟 中 
-局 a 和 | 











《上 - 步 中 | 下 - 步 串 ?| 。 了 肖 也 消 
3-60 IP 地址 排除 地 址 范围 设置 图 3-61 IP 地 址 租 期 设置 


完成 他 地 址 租 期 设置 后 ， 单 击 “ 下 一 步 ” 按钮 ， 打开“ 配置 DHCP 选项 ”界面 , DHCP 
配置 选项 主要 包含 网 关 、DNS 服务 器 IP 地 址 、WINS 服务 器 IP 地 址 。 如 果 要 配置 这 些 参 
数 ， 就 需要 选中 “是 ， 我 想 现在 配置 这 些 选项 ” 单 选 按钮 ， 如 果 不 想 配 置 这 些 参数 ， 或 暂 
时 不 需要 配置 这 些 参 数 ， 就 选中 “和 否 ， 我 想 稍 后 配置 这 些 选项 ” 单 选 按钮 。 由 于 此 处 的 实 
验 无 须 网 关 、DNS、WINS 等 参数 ， 因 此 ， 此 处 我 们 选中 “和 否 ， 我 想 稍 后 配置 这 些 选 项 ” 
单 选 按钮 ， 如 图 3-62 所 示 。 

单 击 “ 下 一 步 ”按钮 后 再 单 击 “完成 ”按钮 ， 即 可 完成 DHCP 作用 域 的 创建 ， 如 图 3-63 








所 示 。 
四 正在 完成 新 建 作用 域 向 导 





证 JMCP 选 斋 
您 必须 可 于 最 过 用 3 DHCP 选 遇 之 后 ， 容 户 庙 才 可 以 使 用 作用 坛 。 


TY 


念 已 成 功 地 完成 了 新 建 作用 域 向 导 。 
客户 油 可 以 接受 地 机 前 ， 您 需要 做 以 下 事情 : 




















创建 完 作 用 域 后 ， 可 以 看 到 在 IPv4 选项 下 面 会 生成 一 条 作用 域 记 录 。 但 该 作用 域 点 图 
标 显示 为 红色 ， 表 明 该 作用 域 并 未 激活 ， 此 时 需要 激活 该 作用 域 。 选 中 该 作用 域 并 右 击 ， 
在 弹出 的 快捷 菜单 中 选择 “激活 ”命令 ， 即 可 激活 该 作用 域 ， 如 图 3-64 所 示 。 
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3-64 ”激活 作用 域 


激活 后 的 作用 域 图 标 会 变 为 绿色 ， 此 时 表明 该 作用 域 可 以 正常 工作 。 


(3) DHCP 客户 端 配置 。 


PC1 作为 DHCP 客户 端 ,需要 将 其 IP 地 址 获取 的 方式 设置 为 自动 获取 。 在 桌面 选中 “网 
上 邻居 ”图 标 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 网 络 连 接 ” 窗 口 ， 


如 图 3-65 所 示 。 


在 “网 络 连 接 ” 窗 口中 ,选择 “本 地 连接 ”图 标 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “ 属 


性 ”命令 ,打开 “本 地 连接 属性 ”对 话 框 ， 如 图 3-66 所 示 。 
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图 3-65 “网 络 连接 ”窗口 
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“本 地 连接 属性 ”对 话 框 


在 “本 地 连接 属性 ”对 话 框 中 ， 选 中 “Intemet 协议 (TCP/IP)” 复 选 框 ， 单 击 “ 属 性 ” 
按钮 ， 打 开 “Intemet 协议 (TCP/IP) 属 性 ”对 话 框 ， 如 图 3-67 所 示 。 
选中 “自动 获得 他 地 址 ”“ 自 动 获得 DNS 服务 器 地 址 ”两 个 单 选 按钮 ， 然 后 单 击 “ 确 


定 ” 按 钮 ， 即 可 完成 DHCP 客户 端 设 置 ， 如 图 3-68 所 示 。 
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3-67 “Internet 协议 (TCP/IP) 属 性 ”对 话 框 3-68 DHCP 客户 端 设 置 


3) ”合法 DHCP 服务 器 的 功能 测试 

在 DHCP 客户 端 可 以 测试 能 否 成 功 从 DHCP 服务 器 获取 卫 地 址 。 在 DHCP 客户 端 进 
入 命令 提示 符 ， 输 入 ipconfig /all 命令 ， 即 可 查看 该 DHCP 客户 端 获取 的 IP 地址， 如 图 
3-69 所 示 。 
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3-69 PC1 成 功 从 合法 DHCP 服务 器 获得 IP 地 址 


此 时 可 以 看 到 DHCP 客户 端 成 功 地 从 合法 DHCP 服务 器 获取 到 192.168.20.0/24 网 段 的 
IP 地 址 ， 表 明 网 络 是 正常 的 。 

在 DHCP 客户 端 经 常 需要 执行 两 条 命令 : ipconfig /release 和 ipconfig /renew。 两 条 命令 
的 功能 如 下 。 

(1) ipconfig /release 命令 。 释 放 DHCP 客户 端 当前 所 获取 的 人 P 地 址 。 例 如 ， 在 PC1 
上 运行 ipconfig /release 命令 ， 可 以 看 到 PC1 刚才 获取 的 人 P 地 址 被 释放 ， 如 图 3-70 所 示 。 

(2) ipconfig /renew 命令 。ipconfig /renew 命令 的 功能 是 重新 向 DHCP 服务 器 获取 全 
地 址 及 相关 参数 。 例如 , 在 PC1 上 运行 ipconfig /renew 命令 , 可 以 看 到 PC1 又 重新 向 DHCP 
服务 器 租赁 了 了 P 地 址 ， 如 图 3-71 所 示 。 





1 EE 








图 3-70 PC1 释放 获取 的 IP 地址 








图 3-71 PC1 重新 获取 IP 地 址 


4) ”部 署 非 法 DHCP 服务 器 

PC2 作为 非法 DHCP 服务 器 , 在 PC2 上 部 署 DHCP 服务 器 ， 并 创建 作用 域 的 地 址 范围 
为 192.168.10.0/24 网 段 (部 署 步骤 参考 步 又 2)。 为 了 测试 非法 Dc 服务 器 是 否 可 以 向 PC1 
分 配 卫 地址 ， 可 以 先 将 合法 的 DHCP 服务 器 停 掉 或 关闭 ， 将 PC1 从 合法 DHCP 服务 器 申 
请 的 地 址 释放 ,此 时 若 重 新 获取 , 可 以 看 到 PC1 会 从 非法 DHCP 服务 器 获取 192.168.10.0/24 
网 段 的 地 址 ， 如 图 3-72 所 示 。 由 此 可 以 看 出 ， 网 络 系统 并 不 能 区 分 合法 和 非法 DHCP 服 











3-72 PC1 从 非法 DHCP 服务 器 获取 IP 地址 
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5) ”配置 DHCP Snooping 
(1) 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ”组 件 程序 通过 串口 连接 到 交换 机 的 




















配置 界面 ， 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 8、 奇 偶 校 
验 无 、 数 据 流 控 制 无 )。 
(2) 超级 终端 登录 交换 机 ， 进 行 任务 的 相关 配置 。 
(3) Sw 1 主要 配置 清单 如 下 。 
-、 初 始 化 配置 


<H3C>system-view 





[H3Cl]sysname swl 

二 、DHCP Snooping 配置 
[SW1]dhcp-snooping 

[SW1 linterface Ethernet 1/0/24 
SW1-Ethemetl/0/24]dhcp-snooping trust 





3.4.6 ”任务 验收 


1. 设备 验收 

根据 实 训 拓扑 图 检查 验收 交换 机 、 计 算 机 等 设备 的 线 缆 连接 ， 检 查 Server、PC2 等 设 
备 的 卫 地 址 设置 。 

2. 功能 验收 

在 交换 机 开启 DHCP Snooping 后 ， 将 24 号 开启 为 trust 模式 ， 仍 然 保 持 合 法 DHCP 服 
务 器 处 于 关闭 状态 , 非法 DHCP 服务 器 处 于 运行 状态 , 此 时 若 将 PC1 从 非法 DHCP 服务 器 
获取 的 IP 地 址 释放 , 再 重新 获取 , 发 现 无 论 如 何 PC1 都 无 法 获取 卫 地 址 , 如 图 3-73 所 示 。 
这 表明 此 时 网 络 中 的 非法 DHCP 服务 器 已 经 无 法 再 提供 卫 地 址 租赁 服务 了 , 系统 已 经 能 区 
分 合法 DHCP 服务 器 和 非法 DHCP 服务 器 了 。 

















图 3-73 PC1 无 法 从 非法 DHCP 服务 器 获取 IP 地 址 
启用 合法 DHCP 服务 器 ,使 合法 DHCP 服务 器 和 非法 DHCP 服务 器 同时 保持 运行 状态 ， 











此 时 再 去 查看 PC1 获取 的 IP 地 址 情况 ， 发 现 PC1 只 能 获取 合法 DHCP 服务 器 的 地 址 ( 即 
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192.168.20.0/24 网 段 的 瑟 地 址 )， 如 图 3-74 所 示 。 








3-74 PC1 只 能 获取 合法 DHCP 服务 器 到 IP 地 址 
3.4.7 ”任务 总 结 


针对 某 公司 办 公 区 网 络 改造 任务 的 内 容 和 目标 ， 根 据 需 求 分 析 进 行 了 实 训 的 规划 和 实 
施 ， 通 过 本 任务 进行 了 服务 器 DHCP、 交 换 机 DHCP Snooping 等 技术 的 配置 。 通 过 DHCP 
服务 ， 方 便 了 公司 网 络 管理 ， 提 高 了 管理 效率 。 通 过 DHCPSnooping 技术 ， 可 以 使 公司 的 
员工 电脑 只 能 获取 合法 DHCP 服务 器 的 地 址 ， 无 法 获取 非法 DHCP 服务 器 的 地 址 ， 从 而 提 
高 了 网 络 的 安全 性 。 





第 4 章 网 络 病毒 、 攻 击 预防 技术 


教学 目标 

通过 对 校园 网 、 企 业 网 等 网 络 进行 网 络 病毒 与 网 络 攻 击 预 防 的 各 种 案例 ， 以 各 实 训 任 
务 的 内 容 和 需求 为 背景 , 以 完成 企业 网 的 各 种 网 络 病毒 与 网 络 攻击 的 预防 技术 为 实 训 目标 ， 
通过 任务 方式 由 浅 入 深 地 模拟 网 络 病毒 及 攻击 预防 的 典型 应 用 和 实施 过 程 ， 从 而 帮助 学 生 
理解 网 络 病毒 及 网 络 攻击 预防 技术 的 典型 应 用 ， 具 备 企 业 网 网 络 病毒 及 攻击 预防 的 实施 和 
灵活 应 用 能 力 。 





教学 要 求 
任务 要 点 关联 知识 
| 掌握 网 络 病毒 防护 系统 的 配置 方法 并 “| (1) 计 算 机 病毒 防护 
公司 网 络 防毒 系统 所 . 
公司 网 络 防 毒 系统 的 实施 | 具备 实施 能 力 OO) 网 络 病毒 防护 系统 
(D 了 解 交换 安全 防护 技术 (路 由 器 与 交换 机 的 安全 管理 
公司 网 ARP 攻击 预防 (2) 了 解 安全 策略 的 配置 方法 (DDHCP 监听 
(3)ARP Detection(ARP 检测 ) 

@ ”交换 机 基础 配置 。 

@ 网 络 病毒 防护 系统 。 

e 交换 机 DHCP Snooping。 

@ ARP 基本 概念 及 攻击 原理 。 

@ ”交换 机 ARP Detection 原理 及 配置 。 


4.1 任务 1: 公司 网 络 防毒 系统 的 实施 


4.1.1 网 络 防毒 系统 任务 描述 


某 公 司 已 经 建立 局 域 网 并 通过 防火 墙 与 互联 网 连接 ， 并 建立 了 多 台 服 务 器 提供 服务 。 
公司 拥有 近 200 台 员 工 计算 机 ， 在 员工 计算 机 以 及 服务 器 中 出 现 的 计算 机 病毒 和 木马 程序 
等 威胁 着 公司 网 络 的 正常 运行 。 为 保障 公司 网 络 的 正常 使 用 和 稳定 运行 ， 需 要 加 强 服 务 器 
和 员工 计算 机 的 安全 防护 ， 请 进行 规划 并 实施 。 
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4.1.2 网 络 防毒 系统 任务 目标 和 目的 


1. 任务 目标 
针对 公司 服务 器 和 员工 计算 机 进行 安全 防护 的 规划 和 实施 。 
2. 任务 目的 


通过 本 任务 进行 网 络 病毒 防护 系统 的 安全 实 训 ， 以 帮助 读者 了 解 网 络 病毒 防护 系统 的 
配置 方法 ， 并 具备 实施 网 络 病毒 防护 系统 的 能 


4.1.3 ”网络 防毒 系统 任务 需求 与 分 析 


需求 1; 公司 全 网 计算 机 的 安全 防护 。 
分 析 2: 采用 病毒 网 络 防护 系统 ， 支 持 服务 器 和 客户 端 计算 机 多 种 操作 系统 版 本 ， 统 
一 规划 、 部 署 安全 策略 。 


4.1.4 网 络 防毒 系统 知识 链接 


1. 计算 机 病毒 防护 


计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 
计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

1) ”计算 机 病毒 的 特点 

计算 机 病毒 的 特点 ， 请 参考 教材 第 1 章 。 

2) “计算 机 病毒 的 预防 

计算 机 病毒 主要 通过 以 下 几 个 方面 进行 预防 。 

(1) 安装 防 病毒 软件 ， 开 启 病毒 实时 监控 ， 定 期 升级 防 病毒 软件 病毒 库 。 

(2) 不 要 随便 打开 不 明 来 源 的 邮件 附件 或 从 互联 网 下 载 的 未 经 杀毒 处 理 的 软件 等 。 

(3) 尽量 减少 他 人 使 用 自己 的 计算 机 ， 使 用 新 设备 和 新 软件 之 前 进行 检查 。 

(4) 及 时 更 新 操作 系统 补丁 和 安全 补丁 。 

(5) 建立 系统 恢复 盘 ， 定 期 备份 文件 。 


2. 网 络 病毒 防护 系统 


网 络 工作 站 的 防护 位 于 企业 防毒 体系 中 的 最 底层 ， 对 企业 计算 机 用 户 而 言 ， 也 是 最 后 
一 道 防 、 杀 病毒 的 要 塞 。 考 虑 到 网 络 中 的 工作 站 数量 少 则 几 十 台 ， 多 则 数 百 上 千 台 甚至 更 
多 。 如 果 要 靠 网 管 人 员 逐 一 到 每 台 计 算 机 上 安装 单机 防 病毒 软件 ， 费 时 费力 ， 同 时 难以 实 
施 统一 的 防 病毒 策略 ， 日 后 的 维护 和 更 新 工作 也 十 分 烦琐 。 因 此 ， 在 企业 中 常常 需要 实施 
防 病毒 软件 的 网 络 版 。 虽 然 国内 外 的 病毒 防护 软件 厂商 非常 多 ， 但 目前 在 企业 中 应 用 较 广 
的 国内 外 产品 主要 有 Symantec Endpoint Protection、Mcafee Virusscan、 卡 巴 斯 基 网 络 版 、 趋 
势 OfficeScan、 瑞 星 网 络 版 等 。 
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防毒 软件 网 络 版 中 的 防 病毒 功能 是 通过 客户 机 提供 的 ， 客 户 机 向 服务 器 报告 并 从 服务 
器 获取 更 新 。 通 过 防毒 软件 网 络 版 控制 台 ， 管 理 员 可 以 配置 、 监 控 和 更 新 客户 机 。 


3. Symantec Endpoint Protection 安全 防护 系统 


Symantec Endpoint Protection 将 赛 门 铁 克 防 病毒 软件 与 高 级 威胁 防御 功能 相 结合 , 可 以 
为 笔记 本 、 台 式 机 和 服务 器 提供 无 与 伦比 的 恶意 软件 防护 能 力 。 它 在 一 个 代理 和 管理 控制 
台中 无 缝 集成 了 基本 安全 技术 ， 从 而 不 仅 提高 了 防护 能 力 , 而 且 还 有 助 于 降低 总 拥有 成 本 。 
它 结合 了 病毒 防护 和 高 级 威胁 防护 ， 能 主动 保护 计算 机 的 安全 ， 使 其 不 受 已 知 和 未 知 威胁 
的 攻击 。Symantec Endpoint Protection( 以 下 简称 SEP) 可 防范 恶意 软件 ， 如 病毒 、 蠕 虫 、 特 
洛 伊 木 马 、 间 谍 软 件 和 广告 软件 ， 可 为 端点 计算 设备 提供 多 层 防 护 。 

SEP 主要 由 SEP Manager、SEP 客户 端 、Protection Center、LiveUpdate Server( 可 选 )、 
中 央 隔 离 区 (可 选 ) 等 组 件 构成 。SEP Manager 是 管理 服务 器 ， 用 于 管理 连接 至 公司 网 络 的 
客户 端 计算 机 。SEP Manager 包括 控制 台 软 件 用 于 协调 及 管理 安全 策略 与 客户 端 计算 机 、 
服务 器 软件 用 于 实现 传 出 和 传 至 客户 端 计算 机 及 控制 台 的 安全 通信 。SEP 客户 端 在 要 防护 
的 服务 器 、 客 户 端 计算 机 上 运行 ， 它 会 通过 防 病毒 和 防 间谍 软件 扫描 、 防 火 墙 、 入 侵 防 护 
系统 及 其 他 防护 技术 来 保护 计算 机 。 Protection Center 允许 将 多 个 受 支持 的 Symantec 安全 
产品 的 管理 控制 台 集成 到 单一 管理 环境 中 。LiveUpdate Server 可 从 Symantec LiveUpdate 
服务 器 下 载 定义 、 特 征 和 产品 更 新 ， 并 将 更 新 派送 至 客户 端 计算 机 。 中 央 隔 离 区 从 SEP 客 
户 端 接收 可 疑 文件 及 未 修复 的 受 感染 条 目 。 中 央 隔 离 区 会 将 示例 转发 到 Symantec 安全 响 
应 中 心 进行 分 析 。 如 果 是 新 的 威胁 ，Symantec 安全 响应 中 心 会 生成 安全 更 新 。 











4.1.5 网 络 防毒 系统 任务 实施 


1. 实施 规划 

1)” 实 训 拓 扑 结 构 

根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 4-1 所 示 ， 以 PC1 模拟 用 户 
计算 机 ，Serverl 模拟 公司 的 业务 服务 器 ，Server2 作为 Symantec Endpoint Protection 管理 服 
务 器 ， 连 通 互联 网 。 








Fa0/1 
Fa0/2 
Server2 VLAN 1 
TP:192.168.1.3/24 
Server] PC1 


IP:192.168&.1.2/24 TIP:192.168.1.1/24 





4-1 实 训 的 拓扑 结构 及 网 络 参数 
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2) “ 实 训 设备 
根据 任务 的 需求 和 实 训 拓 扑 ， 每 实 训 小 组 的 实 训 设备 配置 清单 如 表 4-1 所 示 。 其 中 ， 
作为 SEP 管理 的 服务 器 应 至 少 配 备 1GHz CPU、1GB 内 存 、8GB 磁盘 空间 。 














表 4-1 实 训 设备 配置 清单 


设备 类 型 量 
交换 机 
服务 器 
计算 机 
双 绞 线 RJ-45 
软件 





3) ”IP 地 址 规划 
本 实 训 任 务 中 卫 地 址 网 段 规划 为 192.168.1.0/24, 各 实 训 设备 的 IP 地址 如 表 4-2 所 示 。 


表 4-2 实 训 设备 的 IP 地 址 


192.168.1.1/24 


Serverl 192.168.1.2/24 
192.168.1.3/24 





2. 实施 步骤 
任务 的 实施 步骤 如 下 。 
(1) 根据 实 训 拓 扑 图 进行 交换 机 、 计 算 机 的 线 缆 连接 ， 配 置 PC1、Serverl、Server2 的 
IP 地 址 。Server2 必须 安装 IIS 服务 。Symantec Endpoint Protection 软件 试用 版 可 以 从 网 站 
下 载 ， 网 址 为 http://www.symantec.com/zh/cn/endpoint-protection/trialware。 
Symantec Endpoint Protection Manager 的 安装 进程 主要 分 成 三 个 部 分 : 安装 管理 服务 器 
和 控制 台 、 配 置 管理 服务 器 并 创建 数据 库 、 第 三 部 分 创建 并 部 署 客户 端 软 件 。 每 个 部 分 都 
会 使 用 向 导 。 当 每 个 部 分 的 向 导 完成 时 ， 系 统 会 显示 提示 ， 询 问 是 否 继续 下 一 个 向 导 。 
Symantec Endpoint Protection Manager 的 部 署 主要 分 成 策略 配置 、 管 理 组 和 客户 端 、 
LiveUpdate 更 新 等 任务 。 
(2) 安装 SEP Manager 管理 服务 器 和 控制 台 。 
将 产品 光盘 插入 驱动 器 ， 然 后 开始 安装 。 若 为 下 载 的 产品 ， 请 打开 文件 夹 ， 并 双击 
Setup.exe 程序 。 在 出 现 的 安装 界面 上 选择 “安装 Symantec Endpoint Protection Manager” 项 。 
在 安装 向 导 的 “欢迎 使 用 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 将 会 检查 计算 机 是 否 满足 
系统 最 低 要 求 。 如 果 不 满足 要 求 ， 会 出 现 一 条 消息 ， 指 出 哪 项 资源 不 满足 最 低 要 求 。 可 以 
单 击 “ 是 ”按钮 继续 安装 Symantec Endpoint Protection Manager， 但 性 能 可 能 会 受到 影响 。 
在 “授权 许可 协议 ”界面 中 ， 选 中 “我 接受 该 授权 许可 协议 中 的 条 款 ” 单 选 按钮 ， 然 
后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 4-2 所 示 。 
打开 “安装 类 型 ”界面 ， 选 择 安装 类 型 ， 建 议 大 部 分 用 户 选择 “典型 ”安装 类 型 ， 如 
图 4-3 所 示 。 
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i ,Vymentec Endpoint Protedion 画 
括 权 许可 协议 了 去 类 型 二 
Symantec 本 Symantec- 
请 仔细 二 以 下 可 许可 协议 。 生生 全 要 要 的 安 半 类 到。 
清洁 拉 安装 型。 









Symantec (守门 铁 克 ) 软件 授权 许可 协议 


联 公 司 以 下 称 赛 门 屿 克 ") 许可 您 个 大、 公司 或 法 律 实体 (以 下 
em i 许 










| 使 用 本 授权 许可 软件 
席 双 方 签署 的 具有 法 
的 和 


打 EpB | 


) 我 下 接受 该 授权 许可 协议 中 的 条 款 (D) 


区 上 3-JEE=5w>] (A) 





图 4-2 接受 授权 许可 协议 


优 程序 会 以 最 党 用 的 这 项 安装 。 建 议 大 部 分 用 户 使 用 。 


自 定义 (9) 
嘲 并 要 康 翔 得 序 几 能 及 安 半 位 轩 * 建议 高 级 用 户 使 用 该 选 
项。 


< | F-#0> ] [Bn 


4-3 ”安装 类 型 选择 


在 “选择 网 站 ”界面 中 ， 执 行 下 列 操作 之 一 ， 如 图 4-4 所 示 。 
@ 选中 “创建 自 定义 网 站 ” 单 选 按钮 ， 然 后 接受 或 更 改 “TCP 端口 ”。 


[也 提示 : 此 设置 建议 用 于 大 部 分 的 安装 ， 因 为 它 不 太 可 能 与 其 他 程序 发 生 冲 突 。 


@ ”选中 “使 用 默认 网 站 ” 单 选 按钮 ， 此 设置 使 用 IS 的 默认 网 站 ， 不 建议 使 用 。 
单 击 “ 下 一 步 ” 按 钮 ， 在 “准备 安装 程序 ”界面 中 ， 单 击 “ 安 装 ” 按 钮 ， 安 装 进度 如 








图 4-5 所 示 。 
x 
选择 网 站 
选择 T5 Web 站 点 配置 选项 symantec. 
Pa ee 


ha 使 用 自 定义 网 站 安装 时 ， 应 确保 指定 的 TCP 请 口 设 有 被 任何 已 安装 的 防火 墙 茜 








4-4 选择 安装 的 网 站 及 端口 








则 Symantec Endpoint Protection [oo ES 
正在 安装 Ce Endpoint Protection fsymantec. 
正在 安装 您 所 迁 A 程 序 功 能 。 


介 和 和 Symantec Endpoint Protection， 请 稍 候 。 这 可 能 需要 


状态 ; 
正在 标记 在 重新 启动 Hj 卫 和 3 文件 











4-5 ”开始 安装 


安装 完成 并 出 现 “ 安 装 向 导 已 完成 ”界面 ， 单 击 “ 完 成 ”按钮 ， 如 图 4-6 所 示 。 


等 待 “ 管 理 服 务 器 配置 向 导 ” 界 面 出 现 ， 这 可 能 需要 几 秒 钟 时 间 。 如 果 系 统 提示 重 





Wn 
六 


启动 计算 机 ， 请 重新 启动 计算 机 并 登录 ， 然 后 此 向 导 会 自动 出 现 以 供 继续 操作 。 
(3) 配置 管理 服务 器 并 创建 谋 入 式 数据 库 。 


在 “管理 服务 器 配置 向 导 ” 界 面 中 ， 选 择 “ 简 单 ” 选 项 ， 





再 单 击 “ 下 一 步 ” 按 钮 。 


在 出 现 的 创建 管理 员 账 户 界面 输入 并 确认 密码 (6 个 或 更 多 个 字符 )， 密 码 是 用 来 登录 
Symantec Endpoint Protection Manager 控制 台 的 管理 员 账 户 密码 。 管理 员 的 电子 邮件 地 址 为 


可 选 输入 ， 如 图 4-7 所 示 。 





由 ETE DN 
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一 sm 创建 系 入 各 更 负 体 户 - 振 条 要 提供 讶 侣 才能 登录 各 坚信 他 各 - 
安装 向 导 已 完成 下 

0 FP 

VD ”“ 亡 一 
安装 向 导 已 经 成 功 安装 了 symantec Endpant Protecton mm [| 
Manager。 请 单 击 "完成 以 配置 Symantec Endpoint 电 二 部 件 雪 寺 
Rs 

symantec. Ds 
Ee Ca ww | sm rs | eso 
图 4-6 安装 向 导 已 完成 图 4-7 创建 管理 员 账 户 


单 击 “下 一 步 ” 按 钮 ， 在 “数据 收集 ”界面 中 ， 执 行 下 列 操作 之 一 。 

@ 若 要 让 Symantec Endpoint Protection 将 如 何 使 用 本 产品 的 相关 信息 发 送 给 
Symantec， 请 选中 相应 复 选 框 。 

@ 若 要 拒绝 将 如 何 使 用 本 产品 的 相关 信息 发 送 给 Symantec， 请 取消 选中 相应 复 
选 框 。 

单 击 “下 一 步 ” 按 钮 ， 配 置 摘要 界面 会 显示 用 于 安装 Symantec Endpoint Protection 
Manager 的 配置 情况 。 此 时 可 以 选择 打印 设置 的 副本 以 方便 日 后 维护 作为 参考 , 或 单 击 “ 下 
一 步 ”按钮 ， 如 图 4-8 所 示 。 





全 管理 服务 加 配置 向 导 


-I 
] 
VD 站 点 和 扫 的 站 点 
四 务 着 sep 


服务 器 丹 CC 6443 
适 归 访问 是 D，。 9090 
数据 库 闫 台 。。 力 入 式 
数据 库 名 办 sem5 
用户 名 mn 
电子 闻 作 站 站 


单 击 “上 一 步 ” 更 履 设 时 ， 或 间 击 “下 一 步 ” 交 上 娄 所 库 


YY symantec. 名 能 要 人 此 信 各 打印 一 人 人 二 来 入 。 [本 


EEC CR 





图 4-8 配置 摘要 


等 待 安装 程序 创建 数据 库 ， 这 可 能 需要 几 分钟 的 时 间 。 

在 “管理 服务 器 配置 向 导 已 完成 ”界面 中 ， 如 图 4-9 所 示 ， 执 行 下 列 操作 之 一 。 

@ 若 要 使 用 “迁移 和 部 署 向 导 ” 部 署 客户 端 软件 ， 请 选中 “是 ” 单 选 按钮 ， 然 后 单 
击 “ 完 成 ”按钮 。 

@) 若 要 先 登 录 Symantec Endpoint Protection Manager 控制 台 后 再 部 署 客户 端 软件 ， 
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请 选中 “和 否 ” 单 选 按钮 ， 然 后 单 击 “ 完 成 ”按钮 。 
这 里 选中 “和 否 ” 单 选 按钮 ， 然 后 单 击 “ 完 成 ”按钮 ， 完 成 管理 服务 器 配置 。 











一 、 ”管理 服务 器 配置 向 导 已 完成 

(DV 已 成 帮 配 于 此 生 雪 时务 等- 
请 生产 ， 志 装 Symantec Endpont Protection Manager 时 ， 不 全 在 
这 合计 算 栅 上 志 闽 Symantec Endpont Protection 这 户 晴 - 多 应 轿 
正 记 装 Symantec Endpont Prolection 阁 户 强 - 


迁 福 和 入 吉 向 守 插 引 和 各 充 成 从 Symantec AntiVirus 志 行 还 夺 的 
步 饥 。 不论 铭 是否 要 寺 行 迁移 ， 它 部 会 首 助 多 如 加 老 户 东软 任 - 


委 可 以 稍 后 运行 此 向 导 。 只 要 从 “开始 ”保单 先生 即 可 - 
是 知 要 现在 运行 “迁移 和 部 哮 向 导 - 了 

6 区 

OC 


Ysymantec. 





4-9 ”完成 管理 服务 器 配置 


(4) 创建 并 部 署 客户 端 软件 。 

使 用 “迁移 和 部 署 向 导 ” 可 以 配置 客户 端 软件 包 。 然 后 可 以 选择 显示 推 式 部 署 向 导 ， 
可 以 用 它 将 客户 端 软件 包 部 署 至 Windows 计算 机 (需要 客户 端 计算 机 的 账号 和 权限 ), 也 可 
以 将 制作 的 客户 端 软件 包 通 过 其 他 方式 (如 复制 、 共 享 、FTP) 在 客户 端 进行 安装 。 本 任务 以 
后 者 为 例 进行 安装 。 

运行 下 列 其 中 一 项 操作 ， 启 动 “ 迁 移 和 部 署 向 导 ”。 

依次 选择 “开始 ”一 “程序 ”一 Symantec Endpoint Protection Manager 一 “迁移 和 部 署 
向 导 ” 选 项 ， 有 具体 路 径 可 能 会 因 使 用 的 Windows 版 本 而 异 。 

在 “管理 服务 器 配置 向 导 ” 的 最 后 一 个 界面 中 ， 单 击 “ 是 ”按钮 ， 然 后 单 击 “ 完 成 ” 
按钮 。 在 “欢迎 使 用 迁移 和 部 署 向 导 ” 界 面 中 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 4-10 所 示 。 
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TT | 欢迎 陋 用 迁移 和 部 署 向 导 
> 次 向 导 可 得 助 和 钨 : 


时 六 要 Wndows 许仙 
生生 出 Mac 交 给 多 作 包 
自从 Symantec AntiVius for Wndows 坦 行 迁 椒 
四 从 Symantec AntVius for Macitosh 进 行 迁移 


要 纹 按 .次 单 击 “下 一 步 ”。 


3 symantec. 
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4-10 迁移 和 部 署 向 导 





由 EZE DN 


在 “您 选择 何 种 操作 ”界面 中 ， 选 中 “部 署 Windows 客户 端 ” 单 选 按钮 ， 然 后 单 击 
“下 一 步 ”按钮 。 

在 下 一 个 界面 中 ， 选 中 “指定 您 要 部 署 客 户 端的 新 组 名 ” 单 选 按钮 ， 在 文本 框 中 输入 
组 名 (如 sepclient)， 如 图 4-11 所 示 ， 然 后 单 击 “ 下 一 步 ”按钮 。 已 部 署 客户 端 软 件 并 登录 
到 控制 台 后 ， 可 以 在 控制 台 找到 此 组 。 





人 指定 各 要 名 可 老 户 区 的 新 遂 各 


[a 








C 坦克 四 有 者 户 确 圭 元 作 包 以 坦 行 部 可 
咎 十 多 要 如 可 的 可 户 克 斩 作 所 在 的 文件 实 - 








[| az. | 





symantec. 
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图 4-11 部 署 的 客户 端 组 名 
在 下 一 个 界面 中 ， 取 消 选 中 不 想 安装 的 Symantec Endpoint Protection 中 任何 类 型 的 防 





护 软件 组 件 功能 ， 如 图 4-12 所 示 ， 然 后 单 击 “下 一 步 ” 按 钮 。 


全 迁移 和 部 加 向 导 






















寺 代 要 刀 令 的 幼 能 


傅 


脐 全 雁 和 防 间 谋 软 作 肪 坊 
的 生 关 和 阶 问 深 斩 作 阶 仿 
了 Antiwrus 电子 归 作 阶 扩 
友 POP3SMTP 所 村 和 序 
厂 Merosoft outiook 各 凡 可 序 
厂 Latus Notes 妥 村 机 序 
网 络 咸 有 队 坊 
厅 网 络 丰 有 阶 仿 
主动 及 防护 
厅 TruScan 主动 型 站 攀 
启用 程序 与 设 条 控制 
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4-12 ”选择 客户 端 包 含 的 组 件 功能 


在 下 一 个 界面 中 ， 选 中 您 所 需 的 软件 包 、 文 件 及 用 户 交 互 安装 选项 。 单 击 “ 浏 览 ” 按 
钮 ， 找 到 并 选择 要 放置 安装 文件 的 目录 ， 然 后 单 击 “ 打 开 ” 按 钮 ， 如 图 4-13 所 示 。 
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DV 和 户 硬 家 六 雪人 包 是 一 提 用 于 芳香 的 安装 文件 。 本 过 人 老 户 区 立 革 罗 作 包 的 
3 和， 及 如 用 于 如 要 的 户 区 计 软 作 包 的 位 于 


指定 各 要 创建 的 安装 软 作 包 突 壁 
友 各 位 客户 绚 率 装 软 任 包 
厂 4 位 客户 兢 率 装 软 作 包 
和 让 村 人 吉 记 去 次 作 合用 党 EXE 文人 7 
a 
1 二 
是 否 曙 进 行 无 人 参与 或 戎 驮 去 款 ? 
他 无 人 戎 与 - 去 装 这 各 可 见 ， 且 用 户 可 能 全 收 到 重新 息 动 计划 机 的 可 示 
个 诅 员 -在 后 台 兽 际 交 装 ， 无 生 萄 自动 提示 
指定 保存 如 器 用 的 客户 缠 安 装 软 作 包 的 文 作 实 : 
Eee ] [mx 








symantec. 
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图 4-13 选择 软件 包 安装 选项 


单 击 “ 下 一 步 ”按钮 ， 在 创建 客户 端 安装 软件 包 界 面 中 ， 运 行 下 列 其 中 一 项 操作 。 

@ 选中 “是 ” 单 选 按钮 ， 然 后 单 击 “ 完 成 ”按钮 。 下 一 步 显 示 “ 推 式 部 署 向 导 ”， 
远程 将 客户 端 安 装 包 推送 部 署 到 客户 端 (需要 客户 端 验证 )。 

@ 选中 “和 否 ， 只 要 创建 即 可 ， 我 稍 后 会 部 署 ” 单 选 按钮 ， 然 后 单 击 “ 完 成 ”按钮 。 

这 里 选中 “和 否 ， 只 要 创建 即 可 ， 我 稍 后 会 部 署 ” 单 选 按钮 ， 如 图 4-14 所 示 。 

创建 并 导出 组 的 安装 软件 包 可 能 需要 几 分 钟 的 时 间 ， 如 图 4-15 所 示 。 然 后 退出 迁移 和 
部 署 向 导 。 

在 上 面 指 定 的 客户 端 安装 软件 包 目 录 里 找到 生成 的 安装 包 ( 文 件 名 为 setup.exe)， 将 其 
通过 共享 、 复 制 或 FTP 方式 复制 到 客户 端 计算 机 PC1、Serverl 的 某 个 目录 内 。 

在 客户 端 计算 机 上 双击 运行 setup.exe 文件 进行 安装 ， 安 装 包 进行 自动 安装 ， 如 图 4-16 
所 示 。 
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(TV 】 区 在 已 定义 客户 兢 奖 驻 软 作 包 ， 下 一 步 是 新 如 。 请 大 见 “ 交 对 冀 侧 ”， 入 了 新 如 窗户 哨 奖 过 软 
~ 作 包 的 到 种 方式 列表 - 


单 志 “ 充 陶 ” 创 秆 容 户 仙 实 六 软 任 包 ， 并 均 其 保生 到 打造 的 文 任 夫 - 


加 器 密 户 员 交 六 软 作 包 的 其 中 一 个 方法 是 将 其 惟 送 至 客户 兢 。 是否 疯 在 要 和 新建 的 亦 户 多 立时 
罗 作 包 权 关于 次 户 确 7 


[og 
LLL LILI) 


9 symantec. 





[<t-s® | same | | ammo 








4-14 ”选择 部 署 方式 





I EZE DN 








正在 创建 客户 第 安装 软件 包 


正在 等 御 冤 吉 用 务 各 记名 名 绕 - 


Winaows 正在 配置 Symantec Endpoint Protection， 请 稍 
这 可 能 备 要 几 分 钟 时间 到 





正在 收集 所 需 信息 . 


[ ee ] L109 取消 














图 4-15 创建 客户 端 安装 软件 包 图 4-16 客户 端 自动 安装 


安装 完成 后 ， 系 统 会 提示 重新 启动 客户 端 计算 机 才能 生效 ， 重 新 启动 客户 端 计算 机 后 ， 
在 右 下 角 生 成 客户 端 图 标 。 双 击 可 打开 客户 端 界 面 进行 操作 ， 如 图 4-17 所 示 。 
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4-17 Symantec Endpoint Protection 客户 端 


[& 提示 : 在 Symantec Endpoint Protection RUS 版 本 下 ， 客 户 端 软件 依赖 System Event 


Notification Service 服务 才能 启动 ， 如 果 客 户 端 服务 启动 时 出 现 Symantec 
Management Client 服务 不 能 启动 的 现象 ， 请 在 服务 里 将 System Event 
Notification Service 服务 的 启动 类 型 设 为 自动 启动 并 启动 该 服务 。 

(5) Symantec Endpoint Protection Manager 控制 台 配 置 。Symantec Endpoint Protection 
Manager 控制 台 提 供 了 图 形 用 户 界面 供 管理 员 使 用 。 可 以 使 用 控制 台 来 管理 策略 和 计算 机 、 
监控 端点 防护 状态 ， 以 及 创建 和 管理 管理 员 账 户 。 

在 安装 Symantec Endpoint Protection 之 后 登录 Symantec Endpoint Protection Manager 控 
制 台 。 可 以 通过 以 下 两 种 方式 登录 控制 台 。 

Q@ 通过 本 地 。 从 安装 管理 服务 器 的 计算 机 上 依次 选择 “开始 ”一 “程序 ”一 Symantec 
Endpoint Protection Manager 一 “Symantec Endpoint Protection Manager 控制 台 ” 选 项 。 

@@ 通过 远程 。 任 意 找 一 台 安 装 了 浏览 器 的 计算 机 ， 打 开 正 浏览 器 ， 然 后 在 地 址 栏 中 
输入 下 列 地 址 : http:/192.168.1.3:9090。 在 “Symantec Endpoint Protection Manager 控制 台 
Web 访问 ”页 面 ， 单 击 所 需 的 控制 台 类 型 。 

出 现 管理 控制 台 登 录 界 面 后 ， 使 用 安装 时 设 定 的 管理 员 账 户 进行 登录 。 登 录 后 的 界面 
如 图 4-18 所 示 。 管 理 控制 台 页 面 分 为 “主页 ”“ 监 视 器 ”“ 报 告 ” “策略 ”“ 客 户 端 ” 和 

“管理 员 ”， 按 页 划分 执行 相应 的 功能 和 任务 。 
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4-18 Symantec Endpoint Protection Manager 控制 台 主页 


(6) 策略 配置 。Symantec Endpoint Protection 使 用 不 同类 型 的 安全 策略 来 管理 网 络 安全 
性 。 许 多 策略 是 在 安装 期 间 自动 创建 的 。 可 以 使 用 默认 策略 ， 也 可 以 自 定 义 策略 以 符合 特 
定 环境 的 需要 。 策 略 可 以 为 共享 策略 ， 也 可 以 为 非 共享 策略 。 共 享 策略 应 用 于 任何 组 和 位 
置 。 如 果 创 建 共享 策略 ， 则 可 以 在 所 有 使 用 相应 策略 的 组 和 位 置 将 其 编辑 和 替换 。 非 共享 
策略 应 用 于 组 中 的 特定 位 置 。 每 个 策略 只 能 应 用 至 一 个 位 置 。 针 对 已 经 存在 的 特定 位 置 可 
能 需要 特定 的 策略 。 在 这 种 情况 下 ， 可 以 为 该 位 置 创建 唯一 的 策略 。 要 查看 已 有 的 策略 或 
编辑 、 添 加 策略 ， 在 控制 台中 ， 单 击 “ 策 略 ” 选 项 。 在 “查看 策略 ”下 ， 选 择 任 一 策略 类 
型 ， 在 “任务 ”下 方 ， 选 择 “ 编 辑 策略 ”“ 删 除 策略 ”“ 分 配 策略 ”等 操作 ， 如 图 4-19 所 
示 。 当 配置 好 新 的 策略 后 ， 一 定 要 分 配 策略 ， 这 时 候 才 将 配置 好 的 策略 分 配 到 指定 的 组 ， 
每 次 更 改 完 策略 后 都 要 再 次 将 策略 分 配 到 所 要 指定 的 组 。 共 享 策略 主要 包括 防 病毒 和 防 间 
谍 软 件 策略 、 防 火 墙 策略 、 入 侵 防护 策略 、 应 用 程序 与 设备 控制 策略 、LiveUpdate 策略 等 。 
以 防 病毒 和 防 间谍 软件 策略 为 例 说 明 ， 其 余 策 略 配置 类 似 。 
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“ 防 病 毒 和 防 间 谍 软 件 策略 ”包括 下 列 类 型 的 选项 。 

@ 自动 防护 扫描 。 自 动 防护 会 持续 扫描 从 计算 机 读 取 或 写 入 计算 机 的 文件 和 电子 邮 
件数 据 是 否 有 病毒 或 安全 风险 ; 病毒 和 安全 风险 可 能 包括 间谍 软件 或 广告 软件 。 

@ 管理 员 定 义 的 扫描 (调度 和 按 需 扫描 )。 管 理 员 定义 的 扫描 则 是 检测 病毒 和 安全 风 
险 。 管 理 员 定义 的 扫描 会 通过 检查 所 有 文件 和 进程 (或 部 分 文件 和 进程 ) 来 检测 病毒 和 安全 
风险 。 管 理 员 定 义 的 扫描 还 能 够 扫描 内 存 及 加 载 点 。 

@@ TruaScan 主动 型 威胁 扫描 。TruScan 主动 型 威胁 扫描 会 使 用 启发 式 扫描 查找 与 病 
毒 和 安全 风险 行为 类 似 的 行为 。 防 病毒 和 防 间谍 软件 扫描 是 检测 已 知 的 病毒 和 安全 风险 ， 
而 主动 型 威胁 扫描 则 是 检测 未 知 的 病毒 和 安全 风险 。 

@ ”隔离 选项 。 当 前 的 病毒 定义 到 达 时 : 选择 隔离 策略 ， 对 客户 端 扫描 到 的 病毒 文件 
做 隔离 的 方式 。 

回 ”提交 选项 。 可 以 指定 将 有 关 主 动 型 威胁 扫描 检测 的 信息 、 自 动 防护 或 扫描 检测 的 
信息 自动 发 送 给 Symantec 安全 响应 中 心 。 

其 他 参数 。 可 以 配置 Windows 安全 中 心 与 SEP 是 否 一 起 工作 ，IE 浏览 器 防护 ， 
配置 日 志 处 理 方法 ， 配 置 不 同类 型 的 通知 。 

当 安 装 Symantec Endpoint Protection 时 ， 控 制 台 的 策略 列表 中 会 显示 若干 防 病毒 和 防 
间谍 软件 策略 。 可 以 修改 这 些 预先 配置 的 策略 之 一 ， 也 可 以 创建 新 的 策略 。 如 图 4-20 所 示 
为 防 病毒 和 防 间谍 软件 策略 配置 界面 ， 可 根据 实际 需要 进行 配置 。 
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4-20” 防 病毒 和 防 间 谍 软 件 策略 配置 界面 


(7) 管理 组 和 客户 端 。 在 Symantec Endpoint Protection Manager 中 ， 将 各 个 受 管 计算 
机 组 作为 一 个 整体 进行 管理 ， 组 可 作为 客户 端 计算 机 的 配置 区 。 可 应 用 类 似 的 安全 要 求 将 
计算 机 加 入 组 中 ， 方便 管 理 网 络 安 全 。 

Symantec Endpoint Protection Manager 包括 下 列 默 认 组 。 

GD MyCompany 组 为 顶层 组 或 父 组 。 它 包括 一 个 由 子 组 构成 的 平面 树 。 

@) Default Group 为 MyCompany 的 子 组 除非 客户 端 属 于 预先 定义 的 组 , 否则 首次 
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向 Symantec Endpoint Protection Manager 注册 时 ， 会 先 分 配 到 DefaultGroup 。 不 能 在 
Default Group 下 创建 子 组 。Default Group 不 能 重 命名 或 者 删除 。 

可 以 根据 公司 的 组 织 结构 ， 搭 配 创建 多 个 子 组 ， 亦 可 根据 功能 、 角 色 、 地 理 位 置 或 单 
项 准则 的 组 合 来 确定 组 结构 。 

在 控制 台中 ， 选 择 “ 客 户 端 ” 选项 卡 。 在 “查看 客户 端 ” 下 ， 选 择 要 添加 新 子 组 的 组 。 
在 “客户 端 ” 选 项 卡 的 “任务 ”下 方 ， 单 击 “添加 组 ”按钮 。 在 “添加 MyCompany 的 组 ” 
对 话 框 中 ， 输 入 组 名 称 和 描述 ， 单 击 “确定 ”按钮 ， 如 图 4-21 所 示 。 
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4-21 添加 组 


每 个 组 都 有 一 个 属性 页 ， 列 出 有 关 可 能 需要 检查 的 组 的 一 些 信 息 。 其 中 ， 包 括 组 上 次 
修改 日 期 及 其 策略 序列 号 。 它 还 列 出 组 中 的 计算 机 数量 以 及 注册 用 户 数 。 通 过 此 对 话 框 ， 
可 禁止 新 客户 端 添加 到 组 。 

在 组 结构 中 ， 子 组 起 初 会 自动 从 其 父 组 继承 位 置 、 策 略 和 设置 。 在 默认 情况 下 ， 为 每 
个 组 都 启用 了 继承 。 可 以 禁用 继承 ， 以 便 为 子 组 单独 配置 安全 设置 。 如 果 在 进行 更 改 后 又 
启用 继承 ， 则 会 覆盖 子 组 设置 中 的 所 有 更 改 。 

在 “客户 端 ” 界面 的 “查看 客户 端 ” 下 ， 选 择 顶 层 组 My Company 以 外 的 任何 组 ， 选 
择 要 对 其 禁用 或 启用 继承 的 组 。 在 < 组 名 称 > 窗 格 的 “策略 ”选项 卡 中 ， 执 行 下 列 其 中 一 个 
操作 ， 如 图 4-22 所 示 。 

@ 车 要 禁用 继承 ， 请 取消 选中 “从 父 组 < 组 名 称 > 继承 策略 和 设置 ” 复 选 框 。 

@ 车 要 启用 继承 ， 请 选中 “从 父 组 < 组 名 称 > 继承 策略 和 设置 ” 复 选 框 ， 然 后 在 询问 
是 否 继续 时 单 击 “是 ”按钮 。 
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4-22 ”禁用 与 启用 组 的 继承 


在 建立 的 sepclient 组 下 ， 禁 用 继承 的 防 病毒 和 防 间谍 软件 策略 ， 对 其 进行 编辑 ， 定 义 
对 客户 端 每 周一 上 午 12:00 进行 全 盘 扫 描 。 

@ 在 sepclient 组 的 策略 下 取消 选中 “从 父 组 < 组 名 称 > 继 承 策略 和 设置 ” 复 选 框 。 

@ 双击 编辑 防 病 毒 和 防 间谍 软件 策略 系统 提示 这 是 一 个 共享 策略 , 单 击 “ 编 辑 共享 ”。 

@ 在 编辑 的 策略 里 的 扫描 选项 选择 编辑 ， 将 扫描 调度 时 间 修 改 为 每 周一 上 午 12:00。 

客户 端 是 连接 到 网 络 并 运行 Symantec Endpoint Protection 软件 的 任何 网 络 设备 。 
Symantec Endpoint Protection 客户 端 软 件 包 会 部 署 到 网 络 中 的 各 个 设备 以 对 其 进行 保护 。 客 
户 端 软件 可 在 客户 端 上 执行 下 列 功能 。 

Q@ 连接 到 管理 服务 器 以 接收 最 新 的 策略 与 配置 设置 。 

@ 将 各 策略 中 的 设置 应 用 到 计算 机 。 

@ 在 计算 机 上 更 新 最 新 内 容 以 及 病毒 与 安全 风险 定义 。 

@ ”将 客户 端 信息 记录 在 其 日 志 中 ， 以 及 将 日 志 信息 上 载 到 管理 服务 器 。 

安装 客户 端 软件 前 ,应 事先 将 计算 机 或 用 户 分 配 到 组 在 计算 机 上 。 安装 客户 端 软件 后 ， 
客户 端 将 从 客户 端 安装 软件 包 中 指定 的 组 接收 策略 。 创 建 客户 端 安装 软件 包 进行 部 署 时 ， 
可 以 指定 要 使 客户 端 计算 机 成 为 其 中 成 员 的 组 。 在 计算 机 上 安装 客户 端 安装 软件 包 后 ， 客 
户 端 计算 机 会 成 为 此 首选 组 的 成 员 。 

检查 和 设置 相关 安全 策略 ， 完 成 管理 服务 器 上 的 策略 配置 ， 客 户 端 会 根据 管理 服务 器 
上 相应 的 策略 和 调度 实施 安全 防护 ,通过 Symantec Endpoint Protection Manager 控制 台 的 首 
页 和 监视 器 界面 进行 客户 端 状态 的 监控 。 

(8) LiveUpdate 更 新 。Symantec LiveUpdate 是 一 种 使 用 病毒 定义 、 入 侵 检 测 特 征 、 产 
品 补丁 程序 等 内 容 来 更 新 客户 端 计算 机 的 程序 。LiveUpdate 可 将 内 容 更 新 分 发 至 客户 端 ， 
或 分 发 至 服务 器 ， 然 后 再 将 内 容 分 发 至 客户 端 。 客 户 端 会 定期 接收 病毒 与 间谍 软件 定义 、 
IPS 特征 产品 软件 等 的 更 新 .LiveUpdate 服务 可 通过 SEP 管 理 服 务 器 、 客 户 端 和 LiveUpdate 
服务 器 进行 更 新 ，SEP 客户 端 默 认 会 从 默认 管理 服务 器 获取 更 新 。 客 户 端 计算 机 默认 会 接 
收 所 有 内 容 类 型 的 更 新 。 在 大 型 网 络 中 ， 可 安装 配置 一 台 或 多 台 专 用 的 LiveUpdate 服务 器 
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来 提供 下 载 更 新 。LiveUpdate 的 体系 结构 如 图 4-23 所 示 。 





图 4-23 LiveUpdate 的 体系 结构 


在 SEP 管理 服务 器 的 LiveUpdate 策略 有 两 种 类 型 。 一 种 为 LiveUpdate 设置 策略 ; 另 
一 种 为 LiveUpdate 内 容 策 略 。LiveUpdate 设置 策略 可 以 指定 客户 端 要 联系 以 检查 更 新 的 
计算 机 ， 并 控制 客户 端 检 查 更 新 的 频率 。LiveUpdate 内 容 策 略 指定 允许 客户 端 检 查 和 安装 
的 更 新 类 型 。 针 对 每 种 类 型 ， 可 以 指定 客户 端 查看 和 安装 最 新 的 更 新 。 此 策略 不 能 应 用 于 
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图 4-24 LiveUpdate 策略 的 配置 
修改 LiveUpdate 策略 ， 将 LiveUpdate 调度 更 新 频率 由 默认 的 4 小 时 修改 为 连续 。 


4.1.6 ”网络 防 毒 系统 任务 验收 


1. 设备 验收 


根据 实 训 拓扑 图 检查 验收 交换 机 、 计 算 机 的 线 缆 连 接 ， 检 查 PC1、Server1、Server2 的 
卫 地 址 。 


堂 洪 若 秩 洱 ”车 亚 天 下 FHMtt 台 强 驯 
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2. 配置 验收 
1) ”安装 验收 


检查 Server2 的 Symantec Endpoint Protection Manager 安装 ， 通 过 浏览 器 访问 
http://192.168.1.3:9090 能 正常 登录 控制 台 界 面 ， 从 管理 控制 台 的 客户 端 菜单 项 可 看 见 PC1、 
Serverl 、Server2 客户 端 软件 安装 正确 并 正常 运行 ,选择 客户 端 可 查看 其 软件 版 本 、 病 毒 定 


义 及 相关 属性 等 ， 如 图 4-25 所 示 。 
2) 组 及 策略 配置 


检查 创建 的 sepclient 组 的 防 病毒 和 防 间谍 软件 策略 , 其 扫描 调度 时 间 为 每 周一 上 午 12: 00， 


如 图 4-26 所 示 。 
检查 LiveUpdate 策略 ， 其 调度 更 新 频率 为 连续 ， 如 图 4-27 所 示 。 
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4-25 ” 受 管理 的 客户 端 属性 
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图 4-27 ” LiveUpdate 调度 更 新 频率 

3. 功能 验收 

1) ”客户 端 更 新 

新 安装 的 客户 端 防 病毒 和 防 间 谍 软 件 定义 为 过 期 ， 在 客户 端 上 单 击 “ 修 复 ” 按 钮 。 客 
户 端 将 从 管理 服务 器 进行 更 新 ， 更 新 完成 后 防 病毒 和 防 间谍 软件 定义 将 会 与 管理 服务 器 的 
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定义 一 致 ， 从 查看 日 志 里 能 检查 客户 端 更 新 的 情况 。 也 可 以 从 管理 服务 器 进行 更 新 ， 在 客 
户 端 菜单 选项 里 ， 选 择 需 要 更 新 的 客户 端点 并 右 击 ， 选 择 “ 对 客户 端 运行 命令 ”|“ 更 新 内 
容 ” 命 令 ， 根 据 提示 单 击 “ 确 定 ” 按 钮 ， 如 图 4-28 所 示 。 

在 监视 器 菜单 的 “命令 状态 ”里 查看 管理 服务 器 发 出 的 命令 执行 情况 和 状态 。 

2) ”客户 端 扫描 

扫描 客户 端 计算 机 的 安全 威胁 ,与 客户 端 更 新 类 似 ， 可 以 从 客户 端 界 面 的 “扫描 威胁 ” 
进行 扫描 ， 也 可 以 从 管理 服务 器 对 客户 端 运行 扫描 命令 进行 ， 运 行 后 查看 扫描 结果 。 
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4-28 ”从 管理 服务 器 更 新 


4.1.7 网络 防毒 系统 任务 总 结 


针对 某 公司 计算 机 和 服务 器 的 网 络 病毒 防护 的 任务 内 容 和 目标 ， 通 过 需求 分 析 进 行 了 
实 训 的 规划 和 实施 。 通 过 本 任务 进行 了 网 络 病毒 防护 系统 的 安装 、 安 全 策略 配置 、 组 与 客 
户 端 管理 等 方面 的 实 训 。 





4.2 任务 2: 公司 网 ARP 攻击 预防 


4.2.1 ARP 攻击 预防 任务 描述 


某 公 司 已 完成 了 公司 园区 网 的 基本 建设 ， 采 用 VLAN、 生 成 树 、 路 由 等 技术 构建 了 稳 
定 的 三 层 园区 网 络 结构 ， 并 通过 DHCP 分 配 客户 端 网 络 参数 ， 全 公司 约 有 3000 台 计 算 机 
通过 约 150 台 交 换 机 联 入 校园 网 ， 需 要 稳定 地 访问 校园 网 和 互联 网 资源 。 在 运行 一 段 时 间 
后 发 现 较 多 用 户 计算 机 经 常 出 现 网 络 中 断 现象 ， 经 检查 发 现在 接 入 交换 机 层 的 客户 端 计 算 
机 修改 全 和 MAC 地 址 、 计 算 机 病毒 感染 特别 是 ARP 病毒 、 用 户 计算 机 启用 了 DHCP 功 
能 等 多 种 影响 网 络 正常 运行 的 现象 。 为 了 保障 校园 网 络 的 正常 使 用 和 稳定 运行 ， 请 进行 规 
划 并 实施 。 
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4.2.2 ARP 攻击 预防 任务 目标 与 目的 


1. 任务 目标 

针对 公司 园区 网 接 入 层 的 网 络 安全 进行 防护 的 实施 , 预防 当前 日 益 频 繁 的 ARP 病毒 与 
ARP 攻击 。 

2. 任务 目的 

通过 本 任务 进行 交换 机 的 ARP 攻击 预防 技术 配置 , 以 帮助 读者 在 深入 了 解 交 换 机 基本 
配置 的 基础 上 ， 能 够 利用 ARP 攻击 预防 技术 提高 网 络 安全 性 ， 预 防 ARP 攻击 与 病毒 ， 并 
具备 灵活 运用 的 能 











4.2.3 ARP 攻击 预防 任务 需求 与 分 析 


1. 任务 需求 

某 公司 园区 网 ， 办 公 计 算 机 较 多 ， 用 户 计算 机 经 常 出 现 客户 端 计算 机 修改 卫 和 MAC 
地 址 、 计 算 机 病毒 感染 、 计 算 机 启用 了 DHCP 功能 等 多 种 影响 网 络 中 断 的 现象 ， 需 要 保障 
公司 园区 网 络 的 正常 使 用 和 稳定 运行 。 

2. 需求 分 析 

需求 1: 防止 计算 机 因 ARP 病毒 感染 而 影响 网 
络 使 用 功能 ， 或 遭受 ARP 攻击 的 影响 而 造成 损失 。 

分 析 1: 采用 防 ARP 检测 技术 , 配置 ARP 检查 ， DHCPServer 
对 伪造 的 非法 ARP 报 文 实施 过 滤 ， 从 而 预防 ARP 
攻击 与 ARP 病毒 。 

需求 2: 防止 用 户 计算 机 启用 DHCP 服务 ， 造 
成 网 络 PP 地 址 管理 、 分 配 混乱 。 

分 析 2: 采用 DHCP Snooping 技术 ， 过 滤 掉 非 
法 DHCP 报 文 ， 保 证 网 络 主机 只 能 从 合法 的 DHCP 








服务 器 获取 他 地 址 及 相关 参数 。 
根据 任务 需求 和 需求 分 析 ， 组 建 公司 办 公 区 的 
网 络 结构 ， 如 图 4-29 所 示 。 图 4-29 公司 办 公 区 的 网 络 结构 


4.2.4 ARP 攻击 预防 知识 链接 


1.ARP 协议 


1) ”ARP 的 基本 概念 
ARP(Address Resolution Protocol， 地 址 解析 协议 )， 是 根据 人 P 地 址 获取 物理 地 址 的 一 个 
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TCP/IP。 主 机 发 送信 息 时 将 包含 目标 了 P 地 址 的 ARP 请 求 广播 到 网 络 上 的 所 有 主机 ， 并 接 
收 返回 消息 ， 以 此 确定 目标 的 物理 地 址 ; 收 到 返回 消息 后 将 该 他 地 址 和 物理 地 址 存 入 本 机 
ARP 缓存 中 并 保留 一 定时 间 , 下 次 请 求 时 直接 查询 ARP 缓存 以 节约 资源 。 地 址 解析 协议 是 
建立 在 网 络 中 各 个 主机 互相 信任 的 基础 上 的 ， 网 络 上 的 主机 可 以 自主 发 送 ARP 应 答 消息 ， 
其 他 主机 收 到 应 答 报 文 时 不 会 检测 该 报 文 的 真实 性 就 会 将 其 记 入 本 机 ARP 缓存 ; 由 此 攻击 
者 就 可 以 向 某 一 主机 发 送 伪 ARP 应 答 报 文 , 使 其 发 送 的 信息 无 法 到 达 预 期 的 主机 或 到 达 错 
误 的 主机 ， 这 就 构成 了 一 个 ARP 欺骗 。ARP 命令 可 用 于 查询 本 机 ARP 缓存 中 IP 地 址 和 
MAC 地 址 的 对 应 关系 、 添 加 或 删除 静态 对 应 关系 等 。 相 关 协 议 有 RARP、 代 理 ARP。NDP 
用 于 在 IPv6 中 代替 地 址 解析 协议 。 

2) ARP 报 文 格式 

ARP 协议 主要 是 通过 交换 ARP REQUEST、ARP RELAY 等 报 文 实现 卫 地 址 和 MAC 
地 址 的 转换 。 要 了 解 ARP 实现 原理 , ARP 报 文 格式 是 必须 了 解 的 。 ARP 报 文 格式 如 图 4-30 
所 示 。 








硬件 地 址 长 度 





协议 地 址 长 度 
EE 
MAC 地 址 | IP 地 址 | Mac 地址 iP 地址 
6 4 6 4 

28 字 节 ARP 请 求 /应 答 


4-30 ARP 报 文 格式 


(1) 硬件 类 型 ， 表示 硬件 地 址 类 型 ，1 为 以 太 MAC。 

(2) 协议 类 型 : 网络 层 地 址 ，0x0800 表示 卫 地址。 

(3) OP: 操作 类 型 ，1 表示 ARP 请 求 ，2 表示 ARP 应 答 。 

3) ”ARP 协议 的 基本 工作 原理 

ARP 协议 主要 是 通过 交换 ARP REQUEST、ARP RELAY 等 报 文 实现 卫 地 址 和 MAC 
地 址 的 转换 。ARP 基本 工作 原理 如 图 4-31 所 示 。 








HostA HostB 
192.168.1.1 192.168.1.2 


0002-6779-0f4c 00ao-2470-febd LR 
0002-6779-0fac | 192.168.1.1 |0000-0000-0000 192.168.1.2 






送 端 MAC 地 址 | 发送 端 p 地 址 | 接收 端 MAc 地 址 接收 济 p 地 址 
00ao-2470-febd | 192.168.1.2 | 0002-6779-0fac 192.168.1.1 


4-31 ARP 基本 工作 原理 
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4) ”ARP 协议 的 详细 实现 原理 

ARP 是 地 址 解析 协议 ， 其 功能 是 将 目的 全 地 址 解析 为 目的 MAC 地 址 (MAC 地 址 是 链 
路 层 地 址 , 在 以 太 网 中 就 是 网 卡 地 址 )。 为 什么 知道 了 人 P 地 址 还 要 知道 其 对 应 的 MAC 地 址 
呢 ? 这 是 因为 IP 包 要 转发 ， 还 要 下 传 到 数据 链 路 层 ， 数 据 链 路 层 要 封装 人 P 包 就 要 知道 该 
目的 MAC 地 址 。 

当 了 知道 瑟 包 的 下 一 跳 ( 或 目的 地 址 ) 了 地 址 , 但 不 知道 其 MAC 地 址 时 , 就 调用 ARP。 

IP 调用 ARP 协议 后 ，ARP 通过 ARP 请 求 和 ARP 应 答 实现 地 址 解析 。 下 面 以 示例 来 
说 明 解析 的 过 程 ， 如 图 4-32 所 示 。 


单 播发 送 





hp: 195.167010 |]  ，  ----------------------- 
物理 地 址 : 002o-d6ca-c96b 









解析 : 
192.167.0.15 对 应 
的 物理 地 址 是 ? 


回应 : 
192.167.0.15 对 应 
的 物理 地 址 是 
0010-c6cd-c65d 





图 4-32 主机 A 要 获取 主机 B 的 物理 地 址 的 解析 过 程 


(1) 源 主机 A 调用 ARP 请 求 ， 请 求 IP 地 址 为 195.167.0.15 的 目的 主机 物理 地 址 。 

(2) ARP 创建 一 个 ARP 请 求 分 组 ， 其 内 容 包 括 源 主机 A 的 物理 地 址 、 源 主机 A 的 人 P 
地 址 、 目 的 主机 B 的 人 P 地 址 ， 并 封装 在 链 路 层 数 据 帧 中 。 

(3) 主机 A 在 本 地 网 络 中 广播 ARP 请 求 分 组 的 数据 帧 ， 请 求 数据 帧 的 地 址 为 广播 地 
址 195.167.0.255. 

(4) 该 网 络 中 的 所 有 电脑 都 收 到 此 广播 , 并 将 ARP 请 求 分 组 中 的 目的 主机 地 址 与 自己 
的 他 地 址 进行 匹配 ， 如 果 不 匹配 则 丢弃 。 

(5) 如 某 主机 (如 图 中 主机 B) 发 现 地 址 与 自己 地 址 一 致 , 则 产生 一 个 包含 自己 的 物理 地 
址 的 ARP 应 答 分 组 ， 其 中 包含 应 答 主机 B 的 物理 地 址 。 

(6) 主机 也 的 ARP 应 答 分 组 直接 以 单 播 形 式 回 送 给 主机 A。 

(7) 主机 A 利用 应 答 分 组 中 得 到 的 主机 B 的 地 址 ， 完 成 地 址 解析 过 程 。 

5) ARP 缓存 

当 A 主机 通过 ARP 完成 B 主机 的 地 址 解析 后 , 此 时 会 在 A 主机 内 部 的 ARP 缓存 表 中 
生成 一 条 B 主机 的 缓存 记录 ， 下 次 A 主机 再 去 访问 B 主机 时 ， 就 无 须 再 通过 ARP 协议 去 
解析 B 主机 的 地 址 。ARP 缓存 的 存在 ， 极 大 地 提高 了 网 络 性 能 和 效率 ， 降 低 了 对 网 络 资源 
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的 消耗 。 一 般 而 言 ， 主 机 内 部 的 ARP 缓存 记录 主要 分 为 两 大 类 。 
(1) 动态 ARP 表 。 由 ARP 生成 ,可 被 老化 ,可 被 新 ARP 报 文 更 新 , 可 被 静态 ARP 表 
项 覆盖 , 当 到 达 老 化 时 间 、 接口 down 等 情况 发 生 时 , 系统 会 自动 删除 相应 动态 ARP 表 项 。 





(2) 静态 ARP 表 。 通过 网 络 管理 员 手 工 配置 和 维护 , 不 会 被 老化 , 不 会 被 动态 ARP 表 
查看 主机 ARP 缓存 表 的 方法 为 : 在 命令 提示 符 里 输入 命令 arp -a， 如 图 4-33 所 示 ， 查 
看 主机 ARP 缓存 表 。 


为 某 台 主 机 添加 静态 ARP 缓存 记录 的 方法 为 在 命令 提示 符 下 输入 命令 arp -s， 如 图 
4-34 所 示 ， 为 主机 添加 静态 ARP 缓存 记录 。 





图 4-33 ”查看 主机 ARP 缓存 表 图 4-34 为 主机 添加 静态 ARP 缓存 记录 
如 果 要 手动 清空 某 台 主 机 的 ARP 缓存 记录 ， 方 法 为 在 命令 提示 符 下 输入 命令 arp -d， 
如 图 4-35 所 示 ， 清 空 主 机 ARP 缓存 记录 。 
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材 4-35 清空 主机 ARP 缓存 记录 


6) ARP 协议 漏洞 
机 ARP 协议 虽然 是 一 个 高 效 的 数据 链 路 层 协 议 ， 但 它 是 一 个 早期 的 网 络 协议 ， 存 在 先天 
不 足 的 缺点 。 它 的 设计 初衷 是 为 了 方便 数据 的 传输 , 设计 前 提 是 网 络 绝对 安全 的 情况 , ARP 
协议 是 建立 在 局 域 网 主机 相互 信任 的 基础 之 上 的 。ARP 具有 广播 性 、 无 状态 性 、 无 认证 性 、 
无 关 性 和 动态 性 等 一 系列 安全 缺陷 。 有 具体 而 言 ，ARP 协议 主要 有 以 下 几 个 缺点 。 

(1) 利用 广播 方式 实现 。ARP 寻找 MAC 地 址 是 广播 方式 的 。 攻 击 者 可 以 应 答 错误 的 








Ts 








| ETE NE 


MAC 地 址 , 同时 攻击 者 也 可 以 不 间断 地 广播 ARP 请 求 包 , 造成 网 络 的 缓慢 甚至 网 络 阻塞 。 

(2) 无 状态 和 动态 。ARP 是 无 状态 和 动态 的 ， 任 意 主机 都 可 以 在 没有 请 求 的 情况 下 进 
行 应答 。 且 任何 主机 只 要 收 到 网 络 内 正确 的 ARP 应 答 包 ， 不 管 它 本 身 是 否 有 ARP 请 求 ， 
都 会 无 条 件 地 动态 更 新 缓存 表 。 

(3) 缺乏 身份 认证 。ARP 是 无 认证 的 。ARP 在 默认 情况 下 信任 网 络 内 的 所 有 节点 ， 只 
要 是 存在 ARP 缓存 表 里 的 IP/MAC 映射 以 及 接收 到 的 ARP 应 答 中 的 IP/MAC 映射 关系 ， 
ARP 都 认为 是 可 信任 的 。 并 没有 对 IP/MAC 映射 的 真实 性 和 有 效 性 进行 检验 ， 也 无 法 维护 
映射 的 一 致 性 。 

2. ARP 攻击 的 原理 


正 是 由 于 ARP 存在 诸多 先天 不 足 的 缺点 ,特别 是 无 法 提供 安全 机 制 ， 因 此 ,很 多 利用 
ARP 协议 本 身 漏洞 的 网 络 攻击 、 网 络 病毒 层出不穷 ， 给 网 络 安全 带 来 了 极 大 的 压力 。 

ARP 欺骗 攻击 的 核心 思想 就 是 向 目标 主机 发 送 伪 造 ARP 应 答 ,并 使 目标 主机 接收 应 
答 中 伪造 的 P 地 址 与 MAC 地 址 之 间 的 映射 对 ， 以 此 来 更 新 目标 主机 的 ARP 缓存 。 

一 般 而 言 ，ARP 攻击 主要 有 以 下 几 种 方式 。 

1) ”ARP Spoof 攻击 

ARP Spoof 就 是 典型 的 中 间 人 攻击 。 中 间 人 攻击 就 是 攻击 者 将 自己 的 主机 插入 两 个 目 
标 主机 通信 路 径 之 间 ， 使 它 的 主机 如 同 两 个 目标 主机 通信 路 径 上 的 一 个 中 继 ， 这 样 攻击 者 
就 可 以 监听 两 个 目标 主机 之 间 的 通信 。ARP Spoof 中 间 人 攻击 如 图 4-36 所 示 。 
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4-36 ARP Spoof 攻击 


通信 过 程 如 下 : C 侵 染 目标 主机 A 与 B 的 ARP 缓存 ， 使 得 当 A 向 B 发 送 数据 时 ， 使 
用 的 是 B 的 下 地 址 与 C 的 MAC 地 址 , 并 且 B 向 A 发 送 数据 时 ,使 用 的 是 A 的 他 地 址 与 
C 的 MAC 地 址 。 因 此 ， 所 有 A 与 B 之 间 的 通信 数据 都 将 经 过 C， 再 由 C 转发 给 它们 。 如 
果 攻 击 者 对 一 个 目标 主机 与 它 所 在 的 局 域 网 的 路 由 器 实施 中 间 人 攻击 ， 那 么 攻击 者 就 可 以 
窃取 Intemet 上 与 这 个 目标 主机 之 间 的 全 部 通信 数据 ， 并 且 可 以 对 数据 进行 算 改 和 伪造 。 





© 





| ETE NE 


MAC 地 址 , 同时 攻击 者 也 可 以 不 间断 地 广播 ARP 请 求 包 , 造成 网 络 的 缓慢 甚至 网 络 阻塞 。 

(2) 无 状态 和 动态 。ARP 是 无 状态 和 动态 的 ， 任 意 主机 都 可 以 在 没有 请 求 的 情况 下 进 
行 应答 。 且 任何 主机 只 要 收 到 网 络 内 正确 的 ARP 应 答 包 ， 不 管 它 本 身 是 否 有 ARP 请 求 ， 
都 会 无 条 件 地 动态 更 新 缓存 表 。 

(3) 缺乏 身份 认证 。ARP 是 无 认证 的 。ARP 在 默认 情况 下 信任 网 络 内 的 所 有 节点 ， 只 
要 是 存在 ARP 缓存 表 里 的 IP/MAC 映射 以 及 接收 到 的 ARP 应 答 中 的 IP/MAC 映射 关系 ， 
ARP 都 认为 是 可 信任 的 。 并 没有 对 IP/MAC 映射 的 真实 性 和 有 效 性 进行 检验 ， 也 无 法 维护 
映射 的 一 致 性 。 

2. ARP 攻击 的 原理 


正 是 由 于 ARP 存在 诸多 先天 不 足 的 缺点 ,特别 是 无 法 提供 安全 机 制 ， 因 此 ,很 多 利用 
ARP 协议 本 身 漏洞 的 网 络 攻击 、 网 络 病毒 层出不穷 ， 给 网 络 安全 带 来 了 极 大 的 压力 。 

ARP 欺骗 攻击 的 核心 思想 就 是 向 目标 主机 发 送 伪 造 ARP 应 答 ,并 使 目标 主机 接收 应 
答 中 伪造 的 P 地 址 与 MAC 地 址 之 间 的 映射 对 ， 以 此 来 更 新 目标 主机 的 ARP 缓存 。 

一 般 而 言 ，ARP 攻击 主要 有 以 下 几 种 方式 。 

1) ”ARP Spoof 攻击 

ARP Spoof 就 是 典型 的 中 间 人 攻击 。 中 间 人 攻击 就 是 攻击 者 将 自己 的 主机 插入 两 个 目 
标 主机 通信 路 径 之 间 ， 使 它 的 主机 如 同 两 个 目标 主机 通信 路 径 上 的 一 个 中 继 ， 这 样 攻击 者 
就 可 以 监听 两 个 目标 主机 之 间 的 通信 。ARP Spoof 中 间 人 攻击 如 图 4-36 所 示 。 
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4-36 ARP Spoof 攻击 


通信 过 程 如 下 : C 侵 染 目标 主机 A 与 B 的 ARP 缓存 ， 使 得 当 A 向 B 发 送 数据 时 ， 使 
用 的 是 B 的 下 地 址 与 C 的 MAC 地 址 , 并 且 B 向 A 发 送 数据 时 ,使 用 的 是 A 的 他 地 址 与 
C 的 MAC 地 址 。 因 此 ， 所 有 A 与 B 之 间 的 通信 数据 都 将 经 过 C， 再 由 C 转发 给 它们 。 如 
果 攻 击 者 对 一 个 目标 主机 与 它 所 在 的 局 域 网 的 路 由 器 实施 中 间 人 攻击 ， 那 么 攻击 者 就 可 以 
窃取 Intemet 上 与 这 个 目标 主机 之 间 的 全 部 通信 数据 ， 并 且 可 以 对 数据 进行 算 改 和 伪造 。 
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2) 网关 坎 骗 攻击 

ARP 网 关 坎 骗 攻 击 的 主要 症状 是 造成 内 部 主机 无 法 访问 其 他 网 段 或 外 网 。 其 攻击 过 程 
如 图 4-37 所 示 ， 因 为 主机 A 仿冒 网 关 向 主机 B 发 送 了 伪造 的 网 关 ARP 报 文 ， 导 致 主机 也 
的 ARP 表 中 记录 了 错误 的 网 关 地 址 映射 关系 ， 从 而 正常 的 数据 不 能 被 网 关 接 收 。 


























IlpP 地 址 MAC 地 址 | Type 
10.10.10.1 1-1-1 Dynamic 
接 入 交换 机 EO ARP 表 项 更 新 为 
IP 地 址 MAC 地 址 | Type 
网 ja 10.10.10.1 2.2-2 Dynamic 
主机 A 攻击 源 ) Re 
!P 地 址 
[1010102| 222 | 1010103| aa3 | 





4-37 ARP 网 关 欺 骗 攻 击 


ARP 网 关 欺 骗 攻 击 是 一 种 比较 常见 的 攻击 方式 ， 如 果 攻 击 源 发 送 的 是 广播 ARP 报 文 ， 
或 者 根据 其 自身 所 掌握 的 局 域 网 内 主机 的 信息 依次 地 发 送 攻 击 报 文 ， 就 可 能 会 导致 整个 局 
域 网 通信 的 中 断 ， 是 ARP 攻击 中 影响 较为 严重 的 一 种 。 

3) ”IP 地 址 冲突 

主机 发 送 更 改 的 ARP 报 文 , 将 伪装 的 MAC 地 址 映射 到 目的 主机 的 他 地 址 , 系统 检测 
到 两 个 不 同 的 MAC 地 址 对 应 同一 个 人 P 地 址 而 表现 为 IP 地址 冲突 ， 在 Windows 操作 系统 
中 弹出 警告 对 话 框 ，Linux/UNIX 操作 系统 中 以 mail 方式 警告 根 用 户 ， 并 且 这 两 种 情况 下 
都 会 出 现 网 络 的 暂时 中 断 。 

4) ”拒绝 服务 攻击 DoS 

拒绝 服务 攻击 就 是 使 目标 主机 不 能 正常 响应 外 部 请 求 ， 从 而 不 能 对 外 提供 服务 的 攻击 
方式 。 如 果 攻 击 者 将 目标 主机 ARP 的 MAC 地 址 全 部 改 为 根本 不 存在 的 地 址 ， 那 么 目标 主 
机 向 外 发 送 的 所 有 以 太 网 数据 帧 会 丢失 ， 使 得 上 层 应 用 忙于 处 理 这 种 异常 而 无 法 响应 外 来 
请 求 ， 也 就 导致 目标 主机 产生 拒绝 服务 。 

5) ARP Reply 畸形 包 攻 击 

从 ARP 报 文 格式 我 们 可 以 知道 ， 正 常 的 ARP 报 文 至 少 是 46 个 字 节 , 但 是 如 果 我 们 自 
己 精心 构造 一 个 只 有 30 个 字 节 长 的 ARP Reply 报 文 ,这样 就 会 使 整个 网 络 瘫痪 。 原 因 就 是 
目前 市 场 上 的 网 络 交换 设备 没有 充分 考虑 到 这 种 情况 的 出 现 。 当 网 络 上 连续 出 现 这 种 畸形 
报 文 达 到 一 定数 量 的 时 候 ， 交 换 机 的 MAC 缓存 表 就 无 法 正常 刷新 ， 常 用 的 操作 系统 像 
Windows 2000/2003/2008 等 ， 对 这 种 畸形 报 文 也 没有 很 好 的 处 理 方法 ， 其 严重 后 果 也 是 整 
个 局 域 网 瘫痪 。 经 实验 ， 连 续 发 送 7 个 长 度 为 30 字 节 的 畸形 ARP Reply 报 文 ， 局 域 网 瘫痪 
将 近 30 分 钟 。 

6) ”克隆 攻击 

如 今 修改 网 络 接口 的 MAC 地 址 已 经 成 为 可 能 ， 于 是 攻击 者 首先 对 目标 主机 实施 拒绝 
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服务 攻击 ， 使 其 不 能 对 外 部 做 出 任何 反应 。 然 后 攻击 者 就 可 以 将 自己 的 他 地 址 与 MAC 地 
址 分 别 改 为 目标 主机 的 下 地址 与 MAC 地址 ， 这 样 攻击 者 的 主机 就 变 成 了 与 目标 主机 一 样 


的 副本 ， 从 而 进一步 实施 各 种 非法 攻击 ， 窃 取 各 种 通信 数据 。 


3. ARP Detection 


ARP Detection 功能 主要 应 用 于 接 入 设备 上 ， 对 于 合法 用 户 的 ARP 报 文 进行 正常 转发 ， 
否则 直接 丢弃 ， 从 而 防止 仿冒 用 户 、 仿 冒 网 关 的 攻击 。ARP Detection 包含 三 个 功能 : 用 户 
合法 性 检查 、ARP 报 文 有 效 性 检查 、ARP 报 文 强制 转发 。 

1) ”用 户 合法 性 检查 

用 户 合法 性 检查 对 于 ARP 信任 端口 ,不 进行 用 户 合法 性 检查 ;对 于 ARP 非 信任 端口 ， 
需要 进行 用 户 合法 性 检查 ， 以 防止 仿冒 用 户 的 攻击 。 

用 户 合法 性 检查 是 根据 ARP 报 文中 源 卫 地 址 和 源 MAC 地 址 检查 用 户 是 否 是 所 属 
VLAN 所 在 端口 上 的 合法 用 户 , 包括 基于 IP Source Guard 静态 绑 定 表 项 的 检查 、 基 于 DHCP 
Snooping 安全 表 项 的 检查 、 基 于 IEEE 802.1x 安全 表 项 的 检查 和 基于 OUI MAC 地 址 的 


检查 。 





首先 进行 基于 卫 Source Guard 静态 绑 定 表 项 检查 .如 果 找 到 了 对 应 源 卫 地 址 和 源 MAC 
地 址 的 静态 绑 定 表 项 ， 认 为 该 ARP 报 文 合法 ， 进 行 转发 。 如 果 找 到 了 对 应 源 人 P 地 址 的 静 
态 绑 定 表 项 但 源 MAC 地 址 不 符 ， 认 为 该 ARP 报 文 非法 ， 进 行 丢弃 。 如 果 没 有 找到 对 应 源 
IP 地 址 的 静态 绑 定 表 项 , 继续 进行 DHCP Snooping 安全 表 项 IEEE 802.1 x 安全 表 项 和 OUI 
MAC 地 址 检查 。 

在 基于 IP Source Guard 静态 绑 定 表 项 检查 之 后 进行 基于 DHCP Snooping 安全 表 项 、 
IEEE 802.1 x 安全 表 项 和 OUI MAC 地 址 检查 ， 只 要 符合 三 者 中 任何 一 个 ， 就 认为 该 ARP 
报 文 合法 ， 进 行 转发 。 其 中 ，OUI MAC 地 址 检查 指 的 是 ， 只 要 ARP 报 文 的 源 MAC 地 址 
为 OUI MAC 地 址 ， 并 且 使 能 了 Voice VLAN 功能 ， 就 认为 是 合法 报 文 ， 检 查 通过 。 

如 果 所 有 检查 都 没有 找到 匹配 的 表 项 ， 则 认为 是 非法 报 文 ， 直 接 丢 弃 。 

2) ”ARP 报 文 有 效 性 检查 

ARP 报 文 有 效 性 检查 对 于 ARP 信任 端口 ， 不 进行 报 文 有 效 性 检查 ; 对 于 ARP 非 信任 
端口 ,需要 根据 配置 对 MAC 地 址 和 IP 地 址 不 合法 的 报 文 进行 过 滤 。 可 以 选择 配置 源 MAC 


地 址 、 


对 


目的 MAC 地 址 或 他 地 址 检查 模式 。 


的 源 MAC 地 址 是 否 一 致 ， 一 致 则 认为 有 效 ， 否 则 丢弃 报 文 。 


对 


于 源 MAC 地 址 的 检查 模式 ， 会 检查 ARP 报 文中 的 源 MAC 地 址 和 以 太 网 报 文 头 中 





于 目的 MAC 地 址 的 检查 模式 (只 针对 ARP 应 答 报 文 ), 会 检查 ARP 应 答 报 文中 的 目 


的 MAC 地 址 是 否 为 全 0 或 者 全 1， 是 否 和 以 太 网 报 文 头 中 的 目的 MAC 地 址 一 致 。 全 0、 


全 1、 
对 


不 一 致 的 报 文 都 是 无 效 的， 无效 的 报 文 需要 被 丢弃 。 


于 了 下地 址 检查 模式 ， 会 检查 ARP 报 文中 的 源 瑟 和 目的 瑟 地 址 ,全 0、 全 1、 或 者 


组 播 全 地 址 都 是 不 合法 的 , 需要 丢弃 。 对 于 ARP 应 答 报 文 , 源 卫 和 目的 他 地 址 都 进行 检 
查 ; 对 于 ARP 请 求 报 文 ， 只 检查 源 也 地 址 。 
3) ”ARP 报 文 强制 转发 
ARP 报 文 强制 转发 对 于 从 ARP 信任 端口 接收 到 的 ARP 报 文 不 受 此 功能 影响 ， 按 照 正 


常 流程 进行 转发 ， 对 于 从 ARP 非 信任 端口 接收 到 的 、 已 经 通过 月 








日 户 合法 性 检查 的 ARP 报 
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文 的 处 理 过 程 如 下 。 


(1) 对 于 ARP 请 求 报 文 ， 通 过 信任 端口 进行 转发 。 








(2) 对 于 ARP 应 答 报 文 ， 首 先 按 照 报 文中 的 以 太 网 目的 MAC 地 址 进行 转发 ， 若 在 
MAC 地 址 表 中 没有 查 到 目的 MAC 地 址 对 应 的 表 项 ， 则 将 此 ARP 应 答 报 文通 过 信任 端口 


进行 转发 。 
4. 配置 命令 


H3C 系列 和 Cisco 系列 交换 机 上 配置 ARP Detection(ARP 检测 ) 的 相关 命令 ， 如 表 4-3 


所 示 。 


表 4-3 ARP Detection 配置 命令 


H3C 系列 设备 


下 配置 视图 


功能 


配置 安全 地 址 具体 视图 | [H3C-Ethernet1/0/1]Jam 


绑 定 user-bind mac-addr 


0001-0001-0001 ip-addr 
192.168.1.1 


启用 DHCP 系统 视图 

Snooping 

设置 信任 端口 具体 视图 
dhcp-snooping trst 


DHCP Snooping 具体 视图 | [H3C-Ethermet1/0/1]ip 

MAC 验 i check source ip-address 
mac-address 

启用 Detection ”| 系统 视图 

(或 ARP DAD 

开启 VLAN 的 具体 视图 | [H3-vlan1] am detection 

ARP 检测 enable 

设置 DAI 的 信任 | 具体 视图 | [H3C-Ethernet1/0/1]Jarp 

端口 detection trust 








4.2.5 ”ARP 攻击 预防 任务 实施 


1. 实施 规划 


1)” 实 训 拓 扑 结构 

根据 任务 的 需求 与 分 析 , 实 训 的 拓扑 结构 及 网 络 参 
数 如 图 4-38 所 示 ， 以 PC1 模拟 公司 员工 电脑 ，PC2 模 
拟 ARP 攻击 机 ，DHCP 模拟 公司 DHCP 服务 器 。 

2)” 实 训 设 备 

根据 任务 的 需求 和 实 训 拓扑 , 每 实 训 小 组 的 实 训 设 
备 配 置 清单 如 表 4-4 所 示 。 














配置 模式 
全 局 配 
置 模式 
具体 配 
置 模式 


全 局 配 
置 模式 
具体 配 
置 模式 
全 局 配 
置 模式 


全 局 配 
置 模式 
全 局 配 
置 模式 
具体 配 
置 模式 


Cisco 系列 设备 
基本 命令 

Cisco(config)#port-security 
arp-check 

Cisco (config-if)# 
switchport port-security 
mac-address 001.0001.0001 
ip-address 192.168.1.1 
Cisco (config)#ip dhcp 
Snooping 

Cisco (config-if)# ip dhcp 
snooping trust 

Cisco (config)#ip dhcp 
Snooping Verify mac-address 


Cisco (config)#ip arp 
inspection 

Cisco (config)#ip arp 
inspection vlan 1 

Cisco (config-if)# ip arp 
inspection trust 


L a DHCP:192.168.20.2/24 


Eom23: 
.158 20.254124 








Sw2 
110124: 
192.168.10.254124 





Windows ARP spootrxsth 


< a 
PCl:192.168.10.0/24 CPC2:192.168.10.0/24 


图 4-38 实 训 的 拓扑 结构 及 网 络 参数 


I EYENE 一 


表 4-4 实 训 设备 配置 清单 










设备 型 号 
H3CS3610-28TP | 
Windows 2003/Windows 7 
Win2008 
Windows ARP Spoofer 
RJ-45 





设备 类 型 









交换 机 
计算 机 















Arp 攻击 模拟 软件 
双 绞 线 
3) ”IP 地 址 规划 
根据 需求 分 析 ， 本 任务 的 他 地址 规划 如 表 4-5 所 示 。 








表 4-5 IP 地 址 规划 













IP 地 址 





网 





关 









192.168.10.254 
192.168.10.254 
192.168.20.254 


| pHcp 自动 获取 
DHCP 自动 获取 


192.168.20.2/24 


4) ”VLAN 规划 











根据 需求 分 析 ， 本 任务 的 VLAN 规划 如 表 4-6 所 示 。 


表 4-6 ”VLAN 规划 





所 属 switch 
Ethernet 1/0/1 to Ethernet 1/0/5 
Swl/sw2 Ethernet 1/0/20 to Ethernet 1/0/23 
2. 实施 步骤 
任务 的 实施 步 又 如 下 。 


(1) 根据 实 训 拓 扑 图 进行 交换 机 、 计 算 机 的 线 缆 连 接 ， 配 置 PC3(DHCP 服务 器 ) 的 卫 
地 址 。 

(2) 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ”组件 程序 通过 串口 连接 到 交换 机 的 
配置 界面 ， 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 8、 奇 偶 校 
验 无 、 数 据 流 控制 无 )。 

(3) 超级 终端 登录 路 由 器 ， 进 行 任务 的 相关 配置 。 

(4) Switch 1 主要 配置 清单 如 下 。 

-、SW1 的 基本 配置 
初始 化 配置 : 


<H3C>system-view 











[H3C]sysname swl 
二 、 配 置 vlan 


[swllvlan 10 
swl-vlanlO0]port Ethemet 1/0/] to Ethernet 1/0/5 
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三 、 上 联 端 口 的 配置 

[swl-vlanl0]quit 

[swllinterface Ethemet 1/0/24 
[swl1-Ethernet1/0/24]port link-type trunk 
swl-Ethernet1/0/24]port trunk mit vlan all 








(5) Switch 2 主要 配置 清单 如 下 。 
-、sw2 的 基本 配置 
初始 化 配置 : 


<H3C>system-view 





H3C]sysname sw2 

二 、vlan 配置 

sw2lvlan 10 

SW2-vlan10]vlan 20 

sw2-vlan20]port Ethernet 1/0/20to Ethemet 1/0/23 
三 、vlan 路 由 配置 

sw2-vlan20]quit 

sw2l]interface Vlan-interface 10 
SW2-Vlan-interfacel0]ip address 192.168.10.254 24 
swW2-Vlan-interfacel0]quit 

sw2l]interface Vlan-interface 20 
sw2-Vlan-interface20]ip address ”192.168.20.254 24 
四 、 下 联 端口 配置 

SW2-Vlan-interface20]quit 

SW2]interface Ethernet 1/0/24 
sw2-Ethernet1/0/24]port link-type trunk 
SW2-Ethermetl/0/24]port trunk permit vlan all 


(6) DHCP 中 继 代理 配置 。 











-、DHCP 中 继 代 理 配 置 
[sw2-Ethernet1/0/24]quit 


sw2]dhcp enable 
[sw2]dhcp relay server-group 1 ip 192.168.20.2 人 # 创 建 DHCP 服务 器 组 ， 并 指明 
DHCP 服务 器 的 他 地 址 

sw2linterface Vlan-interface 10 
[sw2-Vlan-interface10]dhcp select relay /# 让 VLAN 10 工 作 在 中 继 模式 下 





[Sw2-Vlan-interface10]dhcp relay server-select 1 
注 : 此 时 需要 测试 PC1、PC2 是 否 能 够 正常 获取 人 Pp 地址 





(7) DHCP Snooping。 





-、DHCP Snooping 配置 
1. sw1l 的 配置 
[swlldhcp-snooping 
[swljinterface Ethernet 1/0/24 
[sw1l-Ethemetl/0/24]dhcp-snooping trust 
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2. sw2 的 配置 
[sw2]interface Ethernet 1/0/23 
[sw2-Ethermet1/0/23]dhep-snooping _ trust 

(8) 配置 DHCP 服务 器 。DHCP 服务 器 配置 步骤 省 略 ， 请 参考 “第 3 章 任务 4: 企业 
网 卫 地 址 安全 管理 ”部 分 的 DHCP 服务 器 配置 。 

(9) 测试 DHCP 服务 是 否 正 常 。 此 时 可 以 测试 公司 内 部 PC1、PC2 是 否 可 以 从 DHCP 
服务 器 获取 人 P 地 址 。 分 别 将 PC1、PC2 设置 为 自动 获取 人 P 地 址 ， 并 在 PC1、PC2 上 分 只 
运行 ipconfig /all 命令 ， 查 看 获取 的 耳 地 址 参数 ， 分 别 如 图 4-39、 图 4-40 所 示 。 

日 








日 la:aa:aa 
6 御 6 朋 14 日 44:90;44 








图 4-39 PC1 获取 的 IP 参数 图 4-40 PC2 获取 的 IP 参数 
(10) 测试 内 部 主机 是 否 能 访问 网 关 。 在 正常 情况 下 ， 在 没有 ARP 攻击 时 ， 此 时 PC1、 
PC2 均 能 正常 访问 网 关 : 192.168.10.254。 在 PC1 上 测试 是 否 能 访问 网 关 ， 访 问 情况 女 
图 4-41 所 示 ， 由 此 可 以 看 出 此 时 网 络 是 正常 的 ，PC1 可 以 正常 访问 网 关 。 

















图 4-41 PC1 能 正常 访问 网 关 


(11) PC2 上 模拟 发 起 ARP 网 关 欺 骗 攻击 。 本 次 任务 利用 Windows ARP Spoofer 软件 发 
起 对 PC1 的 网 关 欺 骗 攻击 ， 迫 使 PC1 断 网 (无 法 访问 网 关 )。 具 体 实施 步 又 如 下 。 

Q@ 安装 Windows ARP Spoofer。 运 行 安装 程序 setup.exe， 弹 出 安装 向 导 对 话 框 ， 如 
图 4-42 所 示 。 

全 部 单 击 Next 按钮 ， 采 用 默认 方式 安装 ， 安 装 完成 后 单 击 Finish 按钮 ， 并 重启 系统 ， 
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4-42 ”Windows ARP Spoofer 安装 向 导 


@ 启动 并 配置 Windows ARP Spoofer 程序 。 安 装 完成 后 ， 会 在 桌面 上 生成 一 个 
Windows ARP Spoofer 的 快捷 图 标 ,双击 ， 即 可 打开 Windows ARP Spoofer 程序 。 第 一 次 打 
开 Windows ARP Spoofer 程序 ， 会 显示 该 主机 的 网 络 配 置 参 数 ， 如 图 4-43 所 示 。 

从 对 话 框 中 我 们 可 以 看 到 攻击 机 PC2 的 瑟 地 址 、 子 网 掩 码 、 网 关 、MAC 地 址 等 相关 
参数 ， 检 查 参 数 是 否 准确 无 误 。 

在 Windows ARP Spoofer 程序 界面 中 切换 到 Spoofing 选项 卡 ， 如 图 4-44 所 示 。 

















到 习 
Adapter |spoofng| Adapter [Spoofing 
Select a Network Device Spoofing Types 








Te->Gateway <-Gateway  ( ->Gateway 


Spoof-Update Time: 1 seconds 


IP-Forwarder 





[Act as aRouter (or Gateway) whie spoofing, 从 














Ce | _ co | 





4-43 ”Windows ARP Spoofer 显示 4-44 ”Spoofing 选项 卡 
主机 网 络 配 置 参 数 


在 Spoofing 选项 卡 中 ,取消 选中 Act as a Router (or Gateway) while spoofing 复 选 框 ， 如 
图 4-45 所 示 。 配 置 完 毕 后 ， 单 击 OK 按钮 。 

单 击 OK 按钮 ， 即 可 完成 Windows ARP Spoofer 的 启动 ， 启 动 界面 如 图 4-46 所 示 。 

@ 扫描 主机 。 一 般 而 言 ， 但 凡是 网 络 攻击 ， 首 先 需要 扫描 网 络 ， 寻 找到 被 攻击 的 目 
标 主机 。 同 样 ， 利 用 Windows ARP Spoofer 发 起 网 关 欺 骗 攻 击 ， 首 先 也 是 扫描 主机 。 单 击 








I ETE pp 
Scan 按钮 ， 即 可 扫描 当前 网 络 中 的 主机 ， 如 图 4-47 所 示 。 





























生 Scan 按钮， 过 几 秒 钟 后 ， 即 可 完成 对 当前 网 络 的 扫描 ， 扫 描 结果 如 图 4-48 所 示 。 
optons Ed aly 
Adapter Spoofing | File Moo Ee 
Spoofing Types 中 SE [ey & le 
JP Address Hostnane MAC Address Status | Sent 
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JP-Forwarder 
"Act as a Router (or Gak 

dl | » 
[or731717 一 一 一 YinarpSpoof VD0. 5. 3 (Freeware) 一 一 之 
[or731717 This progran is freeyare，ao you can use ar 一 
Ce em 四 
Ready ONE 00:00:00 
图 4-45 设置 IP-Forwarder 选项 4-46 Windows ARP Spoofer 的 启动 界面 
WW Untitled - VinArpSpoof vO.5.8 =|o|x| ETTTEE -Iolx 
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Ready Ji 10500500 / Ready ox 00:00:00 











图 4-47 扫描 主机 图 4-48 网 络 扫描 结果 


@ 发 起 攻击 。 当 完成 主机 扫描 后 ， 即 可 选择 被 攻击 的 主机 ， 此 处 选中 192.168.10.2 
这 台 主 机 ， 即 PC1， 选 中 PC1 后 单 击 Start 按钮 ， odie PC1 的 网 关 欺 骗 攻 击 ， 此 时 
我 们 去 观察 PC1 访问 网 关 的 情况 ， 发 现 它 刚 才 还 能 正常 访问 网 关 ， 发 起 攻击 后 ， 就 不 能 访 
问 网 关 了 ， 如 图 4-49 所 示 。 














图 4-49 ARP 网 关 欺 骗 攻击 效果 
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(12) 配置 ARP Detection。 
-、ARP Detection 配置 





swllJap detection mode dhcp-snooping 片 设置 ARP 检测 的 类 型 为 DHCP 
snooping 

swl-vlanl0]arp detection enable /*vlan 10 开启 ARP 检测 功能 
swllinterface Ethernet 1/0/24 

swl-Ethernet1/0/24]Jarp detection trust /# 将 端口 24 设 为 ARP 检测 信任 类 型 


swllinterface Ethernet 1/0/3 
swl-Ethernetl/0/3]Jarp Tate-limit rate 15 drop /# 将 端口 3 收 到 的 数据 、 上 交 给 CPU 进 
行 ARP 检测 、 并 将 上 交 数 据 的 速率 设置 为 13bps， 以 达到 保护 CPU 的 目的 


swllinterface Ethermet 1/0/2 





swl-Ethernet1/0/2]Jarp_ rate-limit rate 15 dro 








4.2.6 ARP 攻击 预防 任务 验收 


1. 设备 验收 


根据 实 训 拓扑 图 检查 验收 路 由 器 、 计 算 机 的 线 缆 连 接 ， 检 查 PC1、PC2、DHCP 的 人 Pp 
地 址 。 


2. 功能 验收 


交换 机 启动 ARP 攻击 预防 技术 ， 此 时 将 PC1 的 ARP 缓存 清空 ，PC1 与 网 关 的 通信 重 
新 恢复 ，PC2 的 攻击 不 再 有 效 ， 如 图 4-50 所 示 。 
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车 


4-50 ”PC1 恢复 通信 


机 4.2.7 ARP 攻击 预防 任务 总 结 


针对 某 公司 办 公 区 网 络 的 改造 任务 的 内 容 和 目标 ， 根 据 需 求 分 析 进 行 了 实 训 的 规划 和 
通过 本 任务 进行 了 交换 机 的 ARP 攻击 预防 技术 , 阻止 了 一 些 公司 员工 的 恶意 技术 攻 


实施 ， 
公司 网 络 ， 提 高 了 网 络 的 安全 性 。 


本 








第 5 


教学 目标 


em 


草 


Internet 接 入 安全 技术 


通过 对 校园 网 、 企业 网 等 网 络 进行 Intemet 接 入 安全 的 各 种 案例 实施 ,以 各 实 训 任务 的 
内 容 和 需求 为 背景 ,以 完成 企业 网 的 各 种 Internet 接 入 安全 技术 为 实 训 目标 , 通过 任务 方式 
由 浅 入 深 地 模拟 企业 Internet 接 入 安全 技术 的 典型 应 用 和 实施 过 程 ， 以 帮助 学 生理 解 各 类 
Internet 接 入 安全 技术 的 典型 应 用 ， 具 备 企业 网 Intemet 接 入 安全 的 实施 和 灵活 应 用 能 力 。 


教学 要 求 
任务 要 点 


企业 网 互联 网 接 入 


企业 网 内 部 服务 发 布 


公司 网 防火 墙 配 置 




















能 力 要 求 


(]) 掌 握 交 换 机 基础 配置 
(3) 掌握 VLAN 基础 配置 
(3) 掌 握 路 由 器 基础 配置 
(4) 掌 握 单 臂 路 由 配置 
(5) 掌 握 NAPT 配置 


(]) 掌 握 NAT Server 技术 基础 

(0) 掌握 WWW 站 点 搭建 

(3) 通 过 NAT Server 实现 内 部 服务 对 
外 发 布 

(1) 掌 握 防火 墙 基础 配置 、NAT 配置 
CD) 了 解 防火 墙 规则 的 配置 

(1) 了 解 VPN 的 原理 和 功能 


移动 用 户 访问 企业 网 资源 | (2) 了 解 SSL VPN 配置 方法 ， 具 备 
VPN 实施 的 能 
重点 难点 
@ 交换机、 路 由 器 基础 配置 。 
ee 单 辟 路 由 配置 。 
@ 访问 控制 列表 技术 。 
ee NAPT、NAT Server 技术 。 
@ 防火墙 基础 配置 、NAT 配置 、 规 则 配置 。 
e SSL VPN 配置 。 





关联 知识 
(1) 交 换 机 基础 及 配置 命令 
(2)VLAN 的 划分 与 配置 命令 
(3) 单 辟 路 由 基础 及 配置 命 
(4) 访 问 控制 列表 技术 基础 
(5)NAPT 技术 基础 及 配置 命令 
(ONAPT 地 址 映射 表 基 础 及 查看 命令 
(DWWW 站 点 搭建 
(2)NAT Server 技术 基础 及 配置 命令 
(3)NAT Server 地 址 映射 表 基 础 及 查 
看 命令 
(DD) 防火 墙 技术 
CO) 防 火 墙 工 作 模式 


(DVPN 
CO)SSL VPN 
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5.1 任务 1: 企业 网 互联 网 接 入 NAT 


5.1.1 NAT 任务 描述 


某 公司 有 两 个 部 门 : 市 场 部 和 产品 部 ， 共 有 约 150 台 主 机 ， 
现在 需要 构建 内 部 网 络 ， 实 现 公司 内 部 主机 相互 通信 与 资源 共 
享 。 从 安全 角度 和 可 管理 角度 考虑 ， 要 求 公司 各 部 门 不 在 同一 网 
段 ， 而 且 公司 各 部 门 间 能 够 相互 通信 。 随 着 业务 的 不 断 发 展 ， 公 
司 要 求 所 有 主机 都 能 够 访问 Intemet， 并 提供 一 定 的 安全 性 ， 保 
证 内 部 主机 不 受 外 部 网 络 攻击 。 请 你 规划 并 实施 网 络 。 该 公司 的 。 图 5-1 公司 的 组 织 结构 
组 织 结构 如 图 5-1 所 示 。 














5.1.2 NAT 任务 目标 与 目的 


1. 任务 目标 

针对 该 公司 的 网 络 需求 ， 进 行 网 络 规划 设计 ， 实 现 内 部 网 络 接 入 Intemet。 

2. 任务 目的 

通过 本 任务 进行 路 由 器 的 基本 配置 、 网 络 地 址 转换 NAT 配置 ， 以 帮助 读者 深入 了 解 路 
由 器 的 配置 方法 和 NAT 配置 方法 ， 具 备 灵 活 运用 NAT 技术 ， 实 现 内 部 主机 接 入 Intemet， 
并 提供 一 定 的 网 络 安全 的 能 力 。 


5.1.3 NAT 任务 需求 与 分 析 


1. 任务 需求 

该 公司 办 公 区 共有 两 个 部 门 : 市 场 部 、 产 品 部 。 每 个 部 门 配置 不 同 数量 的 计算 机 。 网 
络 须 满足 几 个 需求 : 采用 当前 主流 技术 构建 网 络 ， 部 门 内 部 能 实现 相互 通信 ， 从 安全 和 方 
便 管 理 的 角度 考虑 ， 要 求 每 个 部 门 单独 规划 网 段 ， 部 门 之 间 都 能 实现 相互 访问 ， 并 要 求 公 
内 部 网 络 均 可 访问 Intemet， 并 提供 一 定 的 安全 性 ， 保 证 内 部 主机 不 受 外 部 网 络 攻击 。 公 
办 公 区 具体 计算 机 分 布 如 表 5-1 所 示 。 





到 开 


表 5-1 公司 办 公 区 具体 计算 机 分 布 表 
计算 机 数量 








2. 需求 分 析 
需求 1: 采用 当前 主流 技术 构建 网 络 ， 部 门 内 部 能 实现 相互 通信 ， 具 有 较 高 的 可 管理 
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性 和 安全 性 。 

分 析 1: 采用 交换 式 以 太 网 技术 构建 网 络 ， 利 用 Vlan 技术 将 相同 部 门 划 入 相同 Vlan， 
不 同 部 门 划 分 为 不 同 Vlan。 并 将 不 同 部 门 规划 到 不 同 网 段 。 

需求 2: 不 同 部 门 之 间 能 相互 通信 。 

分 析 2: 利用 路 由 器 单 辟 路 由 技术 实现 部 门 之 间 相 互通 信 。 

需求 3: 公司 内 部 网 络 均 可 访问 Intemet， 并 提供 一 定 的 安全 性 ， 保 证 内 部 主机 不 受 外 
部 网 络 攻击 。 

分 析 3: 利用 网 络 地 址 转化 NAT 技术 ， 实 现 将 内 部 私有 地 址 转换 为 合法 公有 地 址 ， 实 
现 内 部 主机 访问 外 部 网 络 ， 并 将 内 部 网 络 透明 化 ， 即 可 使 外 部 主机 无 法 访问 内 部 网 络 ， 从 
而 保护 了 内 部 网 络 。 

根据 任务 需求 和 需求 分 析 ， 组 建 公司 办 公 区 的 网 络 结构 如 图 5-2 所 示 ， 每 部 门 以 一 台 
计算 机 表示 。 
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5-2 ”公司 办 公 区 的 网 络 结构 


5.1.4 ”NAT 知识 链接 


1. 网 络 地 址 转换 (NAT) 的 基本 概念 


NAT(Network Address Translation， 网络 地 址 转换 )， 是 一 个 IETF(Intemet Engineering 
Task Force, Internet 工程 任务 组 ) 标 准 ， 人 允许 一 个 整体 机 构 以 一 个 公用 IP(Internet Protocol) 地 
址 出 现在 Internet 上 。 顾名思义 , 它 是 一 种 把 内 部 私有 网 络 地 址 (IP 地 址 ) 翻 译 成 合法 网 络 人 P 
地 址 的 技术 。 因此 我 们 可 以 认为 , NAT 在 一 定 程度 上 能 够 有 效 地 解决 公 网 地 址 不 足 的 问题 。 
NAT 的 实现 流程 如 图 5-3 所 示 。 

2. NAT 的 应 用 


简单 地 说 ，NAT 就 是 在 局 域 网 内 部 网 络 中 使 用 内 部 地 址 ， 而 当 内 部 节点 要 与 外 部 网 络 
进行 通信 时 ， 就 在 网 关 ( 可 以 理解 为 出 口 ， 就 像 院子 的 门 一 样 ) 处 ， 将 内 部 地 址 替换 成 公用 
地 址 ， 从 而 在 外 部 公 网 (Intemet) 上 正常 使 用 ，NAT 可 以 使 多 台 计 算 机 共享 nteret 连接 , 这 
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一 功能 很 好 地 解决 了 公共 卫 地 址 紧缺 的 问题 。 通 过 这 种 方法 ， 可 以 只 申请 一 个 合法 亿 地 
址 ， 就 把 整个 局 域 网 中 的 计算 机 接 入 Internet 中 。 这 时 ，NAT 屏蔽 了 内 部 网 络 ， 所 有 内 部 
网 计算 机 对 公共 网 络 来 说 是 不 可 见 的 ， 而 内 部 网 计算 机 用 户 通 常 不 会 意识 到 NAT 的 存在 。 
这 里 提 到 的 内 部 地 址 ， 是 指 在 内 部 网 络 中 分 配给 节点 的 私有 也 地 址 ， 这 个 地 址 只 能 在 内 部 
网 络 中 使 用 ， 不 能 被 路 由 转发 。NAT 的 典型 部 署 实例 如 图 5-4 所 示 。 
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5-3 NAT 的 实现 流程 
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5-4 NAT 的 典型 部 署 实例 


NAT 功能 通常 被 集成 到 路 由 器 、 防 火 墙 、 ISDN 路 由 器 或 者 单独 的 NAT 设备 中 。 例如 ， 
Cisco 路 由 器 中 已 经 加 入 这 一 功能 ， 网 络 管理 员 只 需要 在 路 由 器 的 IOS 中 设置 NAT 功能 ， 
就 可 以 实现 对 内 部 网 络 的 屏蔽 。 再 比如 ， 防 火 墙 将 WebServer 的 内 部 地 址 192.168.1.1 映射 
为 外 部 地 址 202.96.23.11， 外 部 访问 202.96.23.11 地 址 实际 上 就 是 访问 192.168.1.1。 此 外 ， 
对 资金 有 限 的 小 型 企业 来 说 , 现在 通过 软件 也 可 以 实现 这 一 功能 。Windows 2003、Windows 
2008 等 操作 系统 都 包含 了 这 一 功能 。 


3. NAT 的 分 类 


NAT 有 4 种 类 型 : 静态 NAT、 动 态 NAT、 基 于 网 络 端口 多 路 复 用 的 NAT 和 应 用 程序 
级 网 关 技术 ALG。 

1) ”静态 NAT 

静态 NAT(Static NAT) 是 指 将 内 部 网 络 的 私有 卫 地 址 转换 为 公有 下 地址 ，IP 地 址 对 是 
一 对 一 的 ， 是 一 成 不 变 的 ， 某 个 私有 卫 地 址 只 转换 为 某 个 公有 了 P 地 址 。 借 助 于 静态 转换 ， 
可 以 实现 外 部 网 络 对 内 部 网 络 中 某 些 特定 设备 (如 服务 器 ) 的 访问 。 




















TT EYE 


通过 手动 设置 ， 使 Intermet 客户 进行 的 通信 能 够 映射 到 某 个 特定 的 私有 网 络 地 址 和 端 
口 。 如 果 想 让 连接 在 Intemet 上 的 计算 机 能 够 使 用 某 个 私有 网 络 上 的 服务 器 (如 网 站 服务 器 ) 
以 及 应 用 程序 (如 游戏 )， 那 么 静态 映射 是 必需 的 。 静 态 映 射 不 会 从 NAT 转换 表 中 删除 。 

如 果 在 NAT 转换 表 中 存在 某 个 映射 , 那么 NAT 只 是 单 向 地 从 Internet 向 私有 网 络 传 
送 数据 。 这 样 ，NAT 就 为 连接 到 私有 网 络 部 分 的 计算 机 提供 了 某 种 程度 的 保护 。 但 是 ， 如 
果 考 虑 到 Intemet 的 安全 性 ，NAT 就 要 配合 全 功能 的 防火 墙 一 起 使 用 。 

2) 动态 NAT 

动态 NAT(Pooled NAT) 是 指 将 内 部 网 络 的 私有 人 P 地 址 转换 为 公用 了 P 地 址 时 ，IP 地 址 
是 不 确定 的 ， 是 随机 的 ， 所 有 被 授权 访问 Internet 的 私有 也 地 址 可 随机 转换 为 任何 指定 的 
合法 下 地址 。 也 就 是 说 ， 只 要 指定 哪些 内 部 地 址 可 以 进行 转换 ， 以 及 用 哪些 合法 地 址 作为 
外 部 地 址 时 ， 就 可 以 进行 动态 转换 。 动 态 转换 可 以 使 用 多 个 合法 外 部 地 址 集 。 当 ISP 提供 
的 合法 他 地 址 略 少 于 网 络 内 部 的 计算 机 数量 时 ， 可 以 采用 动态 转换 的 方式 。 

动态 地 址 NAT 只 是 转换 卫 地 址 ， 它 为 每 一 个 内 部 的 人 P 地 址 分 配 一 个 临时 的 外 部 下 
地 址 ， 主 要 应 用 于 拨号 ， 对 于 频繁 的 远程 连接 也 可 以 采用 动态 NAT。 当 远程 用 户 连接 上 之 
后 ， 动 态 地 址 NAT 就 会 分 配给 它 一 个 下 地址， 用 户 断 开 时 ， 这 个 人 P 地 址 就 会 被 释放 而 留 
待 以 后 使 用 。 

动态 NAT 方式 适合 于 当 机 构 申请 到 的 全 局 卫 地 址 较 少 , 而 内 部 网 络 主机 较 多 的 情况 。 
内 网 主机 卫 与 全 局 卫 地 址 是 多 对 一 的 关系 。 当 数据 包 进出 内 网 时 ， 具 有 NAT 功能 的 设备 
对 也 数据 包 的 处 理 与 静态 NAT 的 一 样 ， 只 是 NAT table 表 中 的 记录 是 动态 的 。 若 内 网 主机 
在 一 定时 间 内 没有 和 外 部 网 络 通信 ， 有 关 它 的 IP 地 址 映射 关系 将 会 被 删除 ， 并 且 会 把 该 全 
局 人 P 地址 分 配给 新 的 了 P 数据 包 使 用 ， 形 成 新 的 NAT table 映射 记录 。 

3) ”端口 多 路 复 用 

端口 多 路 复 用 (Port Address Translation，PAT) 是 指 改变 外 出 数据 包 的 源 端 口 并 进行 端口 
转换 ， 即 端口 地 址 转换 采用 端口 多 路 复 用 方式 。 内 部 网 络 的 所 有 主机 均 可 共享 一 个 合法 外 
部 IP 地 址 实现 对 Internet 的 访问 ， 从 而 可 以 最 大 限度 地 节约 耳 地 址 资源 。 同 时 ， 又 可 隐藏 
网 络 内 部 的 所 有 主机 ， 有 效 避 免 来 自 Intemet 的 攻击 。 因 此 ， 目 前 网 络 中 应 用 最 多 的 就 是 端 
口 多 路 复 用 方式 。 

4) ALG 

ALG(Application Level Gateway) 即 应 用 程序 级 网 关 技术 。 传 统 的 NAT 技术 只 对 了 P 层 
和 传输 层 头 部 进行 转换 处 理 ， 但 是 一 些 应 用 层 协 议 ， 在 协议 数据 报 文 中 包含 了 地 址 信息 。 
为 了 使 这 些 应 用 也 透明 地 完成 NAT 转换 ，NAT 使 用 一 种 称 作 ALG 的 技术 ， 它 能 对 这 些 应 
用 程序 在 通信 时 所 包含 的 地 址 信息 也 进行 相应 的 NAT 转换 。 例 如 : 对 于 FTP 协议 的 
PORT/PASV 命令 、DNS 协议 的 A 和 PTR queries 命令 和 部 分 ICMP 消息 类 型 等 都 需要 相 
应 的 ALG 来 支持 。 


4. NAT 的 原理 


1) ”下 地址 转换 
NAT 的 基本 工作 原理 是 ， 当 私有 网 主机 和 公共 网 主机 通信 的 人 P 包 经 过 NAT 网 关 时 ， 
将 他 包 中 的 源 下 或 目的 他 在 私有 了 到 和 NAT 的 公共 他 之 间 进 行 转换 。 
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如 图 5-5 所 示 ，NAT 网 关 有 两 个 网 络 端口 ， 其 中 公共 网 络 端口 的 瑟 地 址 是 统一 分 配 的 
公共 全， 为 202.20.65.5; 私有 网 络 端口 的 卫 地 址 是 保留 地 址 ， 为 192.168.1.1。 私 有 网 络 
中 的 主机 192.168.1.2 向 公共 网 中 的 主机 202.20.65.4 发 送 了 1 个 人 P 包 (Dst=202.20.65.4， 
Src=192.168.1.2)。 
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5-5 ”NAT 地 址 转换 案例 


当 了 他 包 经 过 NAT 网 关 时 ，NAT Gateway 会 将 全 包 的 源 他 转换 为 NAT Gateway 的 公 
共 IP 并 转发 到 公共 网 ， 此 时 IP 包 (Dst=202.20.65.4，Src=202.20.65.5) 中 己 经 不 含 任何 私有 
网 IP 的 信息 。 由 于 人 P 包 的 源 他 已 经 被 转换 成 NAT Gateway 的 公共 卫 ，Web Server 发 出 的 
响应 了 P 包 (Dst= 202.20.65.5，Src=202.20.65.4) 将 被 发 送 到 NAT Gateway。 

这 时 ，NAT Gateway 会 将 IP 包 的 目的 IP 转换 成 私有 网 中 主机 的 PP， 然后 将 IP 包 
(Des=192.168.1.2，Src=202.20.65.4) 转 发 到 私有 网 。 对 通信 双方 而 言 ， 这 种 地 址 的 转换 过 程 
是 完全 透明 的 。NAT 地 址 的 转换 过 程 如 图 5-6 所 示 。 
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Dst:192.168.1.2 Dst:192.168.1.2 Dst:202.20.65.5 
Src:202.20.65.4 Src:202.20.65.4 Src:202.20.65.4 



















HTTP Reply 









Dst:202.20.65.5 


Src:202.20.65.4 





潼 洲 苇 粮 壮 ” 革 潍 R 谷 此 外 纠 招 也 


5-6 NAT 地 址 的 转换 过 程 


如 果 内 网 主机 发 出 的 请 求 包 未 经 过 NAT， 那么 当 Web Server 收 到 请 求 包 ， 回 复 的 响应 
PP 的 目的 地 址 就 是 私有 网 络 人 P 地 址 ， 在 Intermet 上 无 法 正确 送 达 ， 导 致 连接 失败 。 
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2) “连接 跟踪 

在 上 述 过 程 中 ，NAT Gateway 在 收 到 响应 包 后 ， 就 需要 判断 将 数据 包 转 发 给 谁 。 此 时 
如 果子 网 内 仅 有 少量 客户 机 ， 可 以 用 静态 NAT 手工 指定 ; 但 如 果 内 网 有 多 台 客 户 机 ， 并 且 
各 自 访 问 不 同 网 站 ， 这 时 候 就 需要 连接 跟踪 (connection track)， 如 图 5-7 所 示 。 
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5-7 ”NAT 连接 跟踪 


在 NAT Gateway 收 到 客户 机 发 来 的 请 求 包 后 ， 做 源 地 址 转换 ， 并 且 将 该 连接 记录 保存 
下 来 ， 当 NAT Gateway 收 到 服务 器 发 来 的 响应 包 后 ， 查 找 Track Table， 确 定 转发 目标 ， 做 
目的 地 址 转换 ， 转 发 给 客户 机 。 

3) ”端口 转换 

以 上 述 客户 机 访问 服务 器 为 例 ， 当 仅 有 1 台 客 户 机 访问 服务 器 时 ，NAT Gateway 只 需 
更 改 数据 包 的 源 下 或 目的 他 即 可 正常 通信 。 但 是 如 果 Client A 和 Client B 同时 访问 Web 
Server， 那 么 当 NAT Gateway 收 到 响应 包 的 时 候 ， 就 无 法 判断 将 数据 包 转 发 给 哪 台 客户 机 ， 
如 图 5-8 所 示 。 
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图 5-8 NAT 端口 转换 
此 时 , NAT Gateway 会 在 Connection Track 中 加 入 端口 信息 加 以 区 分 。 如 果 两 个 客户 机 
访问 同一 服务 器 的 源 端口 不 同 ， 那 么 在 Track Table 里 加 入 端口 信息 即 可 区 分 ， 如 果 源 端口 
正好 相同 ,那么 在 实行 SNAT 和 DNAT 的 同时 对 源 端 口 也 要 做 相应 的 转换 ， 如 图 5-9 所 示 。 
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图 5-9 对 源 端口 进行 转换 
5. NAT 的 功能 


NAT 主要 可 以 实现 以 下 几 个 功能 : 数据 伪装 、 端 口 转发 、 负 载 平 衡 、 失 效 终结 和 透明 
代理。 
1) “数据 伪装 
可 以 将 内 网 数据 包 中 的 地 址 信息 更 改 成 统一 的 对 外 地 址 信息 ， 不 让 内 网 主机 直接 暴露 
在 因特网 上 ， 从 而 保证 内 网 主机 的 安全 。 同 时 ， 该 功能 也 常用 来 实现 共享 上 网 。 例 如 ， 内 
网 主机 访问 外 网 时 ， 为 了 隐藏 内 网 拓扑 结构 ， 使 用 全 局 地 址 蔡 换 私有 地 址 。 

2) ”端口 转发 

当 内 网 主机 对 外 提供 服务 时 ， 由 于 使 用 的 是 内 部 私有 了 P 地 址 ， 外 网 无 法 直接 访问 。 因 
此 ， 需 要 在 网 关上 进行 端口 转发 ， 将 特定 服务 的 数据 包 转 发 给 内 网 主机 。 例 如 公司 小 王 在 
自己 的 服务 器 上 架设 了 一 个 Web 网 站 ， 他 的 瑟 地 址 为 192.168.0.5， 使 用 默认 端口 80， 现 
在 他 想 让 局 域 网 外 的 用 户 也 能 直接 访问 他 的 Web 站 点 。 利 用 NAT 即 可 很 轻松 地 解决 这 个 
问题 ， 服 务 器 的 瑟 地 址 为 210.59.120.89， 那 么 为 小 王 分 配 一 个 端口 ,例如 81， 即 所 有 访问 
210.59.120.89:81 的 请 求 都 自动 转向 192.168.0.5:80， 而 且 这 个 过 程 对 用 户 来 说 是 透明 的 。 

3) ”负载 平衡 

目的 地 址 转换 NAT 可 以 重 定向 一 些 服务 器 连接 到 其 他 随机 选 定 的 服务 器 。 

4) ”失效 终结 

失效 终结 : 目的 地 址 转换 NAT 可 以 用 来 提供 高 可 靠 性 的 服务 。 如 果 一 个 系统 有 一 台 通 
过 路 由 器 访问 的 关键 服务 器 ， 一 旦 路 由 器 检测 到 该 服务 器 宕 机 ， 它 可 以 使 用 目的 地 址 转换 
NAT 透明 地 把 连接 转移 到 一 个 备份 服务 器 上 ， 提 高 系统 的 可 靠 性 。 

5) ”透明 代理 

例如 自己 架设 的 服务 器 空间 不 足 , 需要 将 某 些 链接 指向 存在 于 另外 一 台 服 务 器 的 空间 ; 
或 者 某 台 计算 机 上 没有 安装 IIS 服务 ， 但 是 却 想 让 网 友 访问 该 台 计 算 机 上 的 内 容 ， 这 个 时 
候 利用 IIS 的 Web 站 点 重 定 向 即 可 轻松 地 帮助 我 们 搞定 。 

6. NAT 的 缺陷 


NAT 在 最 开始 的 时 候 是 非常 完美 的 ， 但 随 着 网 络 的 发 展 ， 各 种 新 的 应 用 层出不穷 ， 此 
时 NAT 也 暴露 出 了 缺点 ， 主 要 表现 在 以 下 几 个 方面 。 
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(1) 不 能 处 理 嵌 入 式 IP 地 址 或 端口 。NAT 设备 不 能 翻译 那些 嵌入 应 用 数据 部 分 的 中 
地 址 或 端口 信息 ， 它 只 能 翻译 那 种 正常 位 于 IP 首部 中 的 地 址 信息 和 位 于 TCP/UDP 首部 中 
的 端口 信息 ， 如 图 5-10 所 示 。 由 于 对 方 会 使 用 接收 到 的 数据 包 中 嵌入 的 地 址 和 端口 进行 通 
信 ， 这 样 就 可 能 产生 连接 故障 ， 如 果 通 信 双 方 都 是 使 用 的 公 网 卫 ， 这 不 会 造成 什么 问题 ， 
但 如 果 那 个 嵌入 式 地 址 和 端口 是 内 网 的 ， 显 然 连 接 就 不 可 能 成 功 ， 原 因 就 如 开篇 所 说 的 一 
样 。MSN Messenger 的 部 分 功能 就 使 用 了 这 种 方式 来 传递 PP 和 端口 信息 ， 这 样 就 导致 了 
NAT 设备 后 的 客户 端 网 络 应 用 程序 出 现 连接 故障 。 


5-10 ”IP 数据 包 格 式 


(2) 不 能 从 公 网 访问 内 部 网 络 服务 。 由 于 内 网 是 私有 卫 ， 所 以 不 能 直接 从 公 网 访问 内 
部 网 络 服务 ， 如 Web 服务 。 对 于 这 个 问题 ， 我 们 可 以 采用 建立 静态 映射 的 方法 来 解决 。 比 
如 有 一 条 静态 映射 ， 是 把 218.70.201.185:80 与 192.168.0.88:80 进行 映射 ， 当 公 网 用 户 要 访 
问 内 部 Web 服务 器 时 ， 它 就 首先 连接 到 218.70.201.185:80， 然 后 NAT 设备 把 请 求 传 给 
192.168.0.88:80，192.168.0.88 把 响应 返回 NAT 设备 ， 再 由 NAT 设备 传 给 公 网 访问 用 户 。 

(3) 有 一 些 应 用 程序 虽然 是 用 A 端口 发 送 数据 的 ， 但 却 要 用 B 端口 进行 接收 ， 不 过 
NAT 设备 翻译 时 却 不 知道 这 一 点 ， 它 仍然 建立 一 条 针对 A 端口 的 映射 ,结果 对 方 响应 的 数 
据 要 传 给 B 端口 时 ，NAT 设备 却 找 不 到 相关 映射 条 目 而 会 丢弃 数据 包 。 

(4) 一 些 P2P 应 用 在 NAT 后 无 法 进行 。 对 那些 没有 中 间 服 务 器 的 纯 P2P 应 用 (如 电视 
会 议 、 娱 乐 等 ) 来 说 ， 如 果 大 家 都 位 于 NAT 设备 之 后 ， 双 方 是 无 法 建立 连接 的 。 因 为 没有 
中 间 服 务 器 的 中 转 ，NAT 设备 后 的 P2P 程序 在 NAT 设备 上 是 不 会 有 映射 条 目的 ， 也 就 是 
说 对 方 是 不 能 向 你 发 起 一 个 连接 的 。 现 在 已 经 有 一 种 叫 作 P2P NAT 穿越 的 技术 来 解决 这 个 
问题 。 

NAT 技术 无 可 否认 是 在 ipv4 地 址 资源 的 短缺 时 候 起 到 了 缓解 作用 ;， 在 减少 用 户 申请 
ISP 服务 的 花费 和 提供 比较 完善 的 负载 平衡 功能 等 方面 带 来 了 不 少 好 处 。 但 是 ipv4 地 址 在 
以 后 几 年 将 会 枯竭，NAT 技术 不 能 改变 ip 地 址 空间 不 足 的 本 质 。 然而 在 安全 机 制 上 也 潜在 
威胁 ， 在 配置 和 管理 上 也 是 一 个 挑战 。 如 果 要 从 根本 上 解决 ip 地 址 资源 的 问题 ，ipv6 才 是 
最 根本 之 路 。 在 ipv4 转换 到 ipv6 的 过 程 中 ，NAT 技术 确实 是 一 个 不 错 的 选择 ， 相 对 于 其 
他 的 方案 优势 也 非常 明显 。 

7. H3C NAT 分 类 


H3C 网 络 设备 将 网 络 地 址 转化 NAT 技术 分 为 Basic NAT、NAPT、 Easy IP、NAT Server、 
NAT ALG 等 类 型 。 

1) Basic NAT 

一 对 一 的 转换 ， 即 同一 时 刻 、 一 个 公有 地 址 只 能 被 映射 给 一 个 私有 地 址 ， 是 最 简单 的 
地 址 转换 方式 ， 它 只 对 数据 包 的 源 卫 地 址 和 目的 下 地 址 等 参数 进行 简单 转换 。Basic NAT 
的 实现 原理 如 图 5-11 所 示 。 
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图 5-11 Basic NAT 的 实现 原理 

Basic NAT 的 优点 是 简单 ， 容 易 实现 ， 不 需要 复杂 计算 ， 实 现 了 私有 网 络 访问 公 网 ， 
并 对 内 部 网 络 进行 了 屏蔽 和 保护 ; 但 缺点 也 非常 明显 : 只 是 一 对 一 的 转换 ， 只 对 IP 参数 进 
行 转 换 ， 不 能 对 端口 进行 转换 ， 不 能 很 好 地 缓解 PP 地 址 紧张 的 问题 。 因 此 在 实际 应 用 中 应 
用 较 少 。 

2) NAPT 

即 基 于 端口 多 路 复 用 的 NAT, 在 同一 时 刻 、 一 个 公有 下 地址 可 以 同时 映射 给 多 个 私有 
IP 地址。 相对 于 Basic NAT，NAPT 不 光 进 行 IP 地 址 的 转换 ， 还 可 以 通过 端口 的 复 用 ， 大 
大 提升 公有 了 他 地 址 的 利用 率 。NAPT 是 目前 应 用 最 为 广泛 的 一 种 NAT 技术 。NAPT 的 实现 
原理 如 图 5-12 所 示 。 
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图 5-12 NAPT 的 实现 原理 


3) EasyIP 

Easy IP 是 基于 接口 地 址 转换 的 NAT。 在 部 署 Easy IP 的 时 候 ， 可 以 无 须 专门 设置 公有 
地 址 池 , 内 部 主机 可 以 动态 地 转换 为 路 由 器 WAN 口 的 公有 人? 地 址 .其 实现 的 功能 和 NAPT 
相似 ， 可 以 说 Easy IP 是 NAPT 的 一 个 特例 。 它 们 的 唯一 区 别 在 于 部署 NAPT 时 需要 专 
门 设 置 公有 地 址 池 ， 而 部 署 Easy IP 时 ， 无 须 设置 公有 地 址 池 ， 内 部 私有 卫 地 址 将 直接 转 
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换 为 WAN 口 IP 地 址 。 基 于 上 述 特点 ，Easy IP 一 般 应 用 于 公 网 地 址 不 确定 或 动态 变化 的 
场合 ， 如 家 庭 拨 号 上 网 。 

4) NAT Server 

NAT Server 相当 于 静态 映射 NAT， 具 体 实 现 原 理 将 在 第 5 章 任 务 2 详细 分 析 。 

5) NATALG 

传统 的 NAT 技术 (Basic NAT 和 NAPT) 只 能 修改 并 识别 也 报 文中 的 他 地 址 和 传输 层 端 
不 能 修改 报 文 内 部 携带 的 信息 。 

ALG 是 传统 NAT 的 增强 特性 ， 它 能 够 识别 应 用 层 协 议 内 嵌 的 网 络 层 信 息 ， 在 实现 人 P 
地 址 和 端口 号 转换 的 同时 ， 对 应 用 层 数据 中 的 网 络 层 信 息 进 行 正确 的 转换 。NAT ALG 的 实 
现 原理 如 图 5-13 所 示 。 
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5-13 NAT ALG 的 实现 原理 
8. 配置 命令 


路 由 器 的 基本 管理 方式 和 配置 模式 与 交换 机 类 似 。H3C 系列 和 Cisco 系列 路 由 器 上 配 
置 NAPT 的 相关 命令 如 表 5-2 所 示 。 


表 5-2 NAPT 配置 命令 








功能 H3C 系列 设备 Cisco 系列 设备 
配置 视图 基本 命令 配置 模式 基本 命令 
配置 ACL 系统 视图 | [H3C]acl number 2000 | 全 局 配 Cisco(config)#access-list 1 


置 模式 permit 192.168.0.0 
0.0.25.255 





设置 私有 地 址 范围 | 具体 视图 [H3C-acl-basic-2000]mle 





Opermt source 
192.168.0.0 0.0.255.255 
配置 公有 地 址 池 系统 视图 | [H3Clnat address-group 

1 10.10.47.12 10.10.47.12 





全 局 配 
置 模式 


全 局 配 
置 模式 





Cisco(config)#ip nat Inside 
source list 1 pool 1 


Cisco(config)#ip nat pool 1 
10.10.47.12 10.10.47.12 
netmask 255.255.255.128 
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H3C 系列 设备 Cisco 系列 设备 
















功 能 |「 珊 轩 视图 基本 命令 配置 模式 | 基本 命令 
进入 接口 视图 系统 视图 | [H3Clinterface Ethernet Cisco(config)#interface 


0/1 fastEthernet 0/1 
具体 视图 | [H3C-Ethernet0/1]nat Cisco(config-if)#ip nat 
outbound 2000 R outside 






















将 NAPT 应 用 到 
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1. 实施 规划 


1)” 实 训 拓 扑 结 构 
根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 5-14 所 示 ， 以 PC1、PC2、 
模仿 公司 的 市 场 部 和 产品 部 。 


Internet 
[E01 :10.1047.11 


NE 0 .vano 192.168 100 124 
e010.2: VLAN20 192.168.20.0124 
IE1I0124 


VLAN10:e1j011-e1i0 丘 
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二 










市 场 部 : vlan10 产品 部 : vlan20 


pC1:192.168.10.2/24S PC2:192.168.20.2/24 


图 5-14” 实 训 的 拓扑 结构 及 网 络 参数 
2)” 实 训 设 备 


根据 任务 的 需求 和 实 训 拓扑 ， 每 个 实 训 小 组 的 实 训 设备 配置 清单 如 表 5-3 所 示 。 
表 5-3 实 训 设备 配置 清单 








| EscMsRao 
H3C E126A 

Windows 2003/Windows 7 
RJ-45 





设备 类 型 


交换 机 
计算 机 








3)” IP 地 址 规划 
根据 需求 分 析 本 任务 的 他 地址 规划 ， 如 表 5-4 所 示 。 
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表 5-4 IP 地 址 规划 


















IP 地 址 网 关 
PC1 | 192.168.10.2/24 | 192.168.10.254 
PC2 192.168.20.2/24 | 192.168.20.254 





192.168.10.254/24 | 
192.168.20.254/24 





4) ”VLAN 规划 
根据 需求 分 析 本 任务 的 VLAN 规划 ， 如 表 5-5 所 示 。 


表 5-5 VLAN 规划 








部 门 名 称 端口 
市 场 部 E 1/0/] toE 1/0/5 
产品 部 E 1/0/6 to E 1/0/10 
2. 实施 步骤 
任务 的 实施 步骤 如 下 。 


(1) 根据 实 训 拓扑 图 进行 交换 机 、 计 算 机 的 线 缆 连接 ， 配 置 PC1、PC2 的 下 地 址 。 
(2) 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ”组 件 程序 通过 串口 连接 到 交换 机 的 
配置 界面 ， 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 8、 奇 偶 校 
验 无 、 数 据 流 控制 无 )。 
(3) 超级 终端 登录 路 由 器 ， 进 行 任务 的 相关 配置 。 
(4) Swl 主要 配置 清单 如 下 。 
-、vlan 配置 : 
<H3C>system-view 
H3C]sysname swl 
swllvlan 10 
swl-vlanlO]port Ethemet 1/0/lto Ethernet 1/0/5 
swl-vlanl0]vlan 20 
swl-vlan20]port Ethernet 1/0/6to Ethernet 1/0/10 
二 、 上 联 端口 为 trunk 
swl-vlan20]quit 
swllinterface Ethernet 1/0/24 
swl-Ethernet1/0/24]port link-type trunk 
swl-Ethernet1/0/24]porttrunk permit vlan all 
(5) Rl 主要 配置 清单 如 下 。 
-、 配 置 单 臂 路 由 


<H3C>system-view 











H3C]sysname rl 
[rljinterface Ethernet 0/0.1 
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[r1-Ethernet0/0.1]ip address 192.168.10.254 24 
[r1-Ethernet0/0.1]vlan-type dotlq vid 10 
[r1-Ethernet0/0.1]quit 

[rllinterface Ethernet 0/0.2 
[r1-Ethernet0/0.2]ip address 192.168.20.254 24 
[r1-Ethernet0/0.2]vlan-type dotlq vid 20 
二 、 配 置 接口 PP 参数 

[r1-Ethernet0/0.2]quit 

[rllinterface Ethernet 0/1 

[rl1-Ethernet0/1]ip address 10.10.47.11 255.255.255.128 
[rllip route-static 0.0.0.0 0.0.0.0 10.10.47.126 
三 、NAPT 的 配置 

1. 配置 ACL 

[rl]firewall enable 

[rllacl number 2000 

[rl-acl-basic-2000]rule 0 permit source 192.168.0.0 0.0.255.255 
2. 配置 地 址 池 

[rl-acl-basic-2000]quit 

[rljnat address-group 1 10.10.47.12 10.10.47.12 
3. 将 NAT 应 用 到 出 接口 

[rllinterface Ethemet 0/1 


[r1-Ethernet0/1]nat outbound 2000 address-group 1 将 NAT 应 用 到 出 接口 





5.1.6 NAT 任务 验收 


/* 查 看 NAT 映射 表 


S12 


53 


1. 设备 验收 
根据 实 训 拓扑 图 检查 验收 路 由 器 、 计 算 机 的 线 缆 连 接 ， 检 查 PC1、PC2 的 他 地 址 。 
高 2. 配置 验收 
0 
查看 NAT 映射 表 : 
号 [rll]display nat session 
No NAT sessions are currently active! 
材 [rl]display nat session 
计 There are currently 3 NAT sessions: 
亲 Protocol GlobalAddrPortInsideAddrPortDestAddrPort 
系 ICMP 10.10.47.12 12289 L92168.20.2 “S12 180.97533,.107 
列 status:11 TTL:00:00:10 Left:00:00:09 VPN:--—- 
UDP 10.10.47.12 12290 192.168.10.2 21541 
status:10 TTL:00:00:10 Left:00:00:07 VPN:-——- 
ICMP LO.10.47.12 12291 L92168.10.2 512 180.97.33.107 


Q 





512 


TT 颈 5 章 Iniernet -yee yay 


status:11 TTL:00:00:10 Left:00:00:09 VPN:-——- 
3. 功能 验收 
在 PC1( 市 场 部 ) 上 通过 命令 提示 符 Ping 命令 访问 外 部 网 络 ， 如 图 5-15 所 示 。 





图 5-15 ”在 PC1( 市 场 部 ) 上 通过 命令 提示 符 ping 命令 访问 外 部 网 络 


5.1.7 NAT 任务 总 结 


针对 某 公 司 办 公 区 网 络 的 改造 任务 的 内 容 和 目标 ， 根 据 需求 分 析 进 行 了 实 训 的 规划 和 
实施 ， 通 过 本 任务 进行 了 路 由 器 网 络 地 址 端口 转换 (NAPT) 的 配置 实 训 。 


5.2 任务 2: 企业 网 内 部 服务 发 布 


5.2.1 NAT Server 任务 描述 


某 公司 构建 自己 的 内 部 企业 网 ， 主 机 规模 近 100 台 ， 内 部 可 以 实现 通信 和 资源 共享 ， 
并 通过 一 台 路 由 器 接 入 Intemet。 根据 公司 业务 需求 ,采购 回 一 台 服务 器 ,部署 了 WWW 服 
务 ， 专 门 设计 的 公司 主页 网 站 ， 并 将 公司 网 站 上 传 到 WWAW 服务 器 上 。 现 公司 内 部 员工 可 
以 正常 访问 公司 WWW 站 点 , 但 外 部 用 户 无 法 访问 。 网 站 作为 公司 对 外 交流 的 窗口 和 平台 ， 
只 是 为 内 部 用 户 提供 访问 意义 不 大 。 根 据 业 务 需 求 ， 需 要 外 部 用 户 也 能 正常 访问 该 WWW 
站 点 ， 即 将 内 部 WWW 服务 对 外 发 布 。 请 你 规划 并 实施 网 络 。 

















5.2.2 NAT Server 任务 目标 与 目的 


1. 任务 目标 


针对 该 公司 网 络 需 求 ， 进 行 网 络 规划 设计 ， 通 过 NAT Server( 静 态 映 射 ) 技 术 将 内 网 
WWW 站 点 对 外 发 布 ， 为 外 部 用 户 提供 访问 服务 。 
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2. 任务 目的 


通过 本 任务 进行 路 由 器 的 NAT Server 配置 ， 以 帮助 读者 在 深入 了 解 路 由 器 NAT 配置 
的 基础 上 ， 具 备 利用 NAT Server 技术 将 内 部 服务 对 外 发 布 ， 为 外 部 用 户 提供 访问 服务 的 


台 b 
有 人。 























5.2.3 NAT Server 任务 需求 与 分 析 


1. 任务 需求 

某 公 司 有 近 100 台 主 机 ， 内 部 实现 了 通信 和 资源 共享 ， 并 部 署 了 WWW 站 点 ， 内 部 用 
户 可 以 正常 访问 ， 而 外 部 用 户 无 法 访问 ， 现 要 求 将 内 部 WWW 站 点 进行 对 外 发 布 ， 为 外 部 
用 户 提供 访问 服务 。 公 司 办 公 区 具体 计算 机 分 布 如 表 5-6 所 示 。 


表 5-6 公司 办 公 区 具体 计算 机 分 布 表 








部 门 计算 机 数量 计算 机 数量 
办 公 区 1 
2. 需求 分 析 


需求 1: 外 部 用 户 能 访问 公司 内 部 WWW 站 点 。 

分 析 1: 通过 NAT Server 技术 将 公司 内 部 WWW 站 点 进行 对 外 发 布 ， 实现 为 外 部 用 户 
提供 WWW 访问 服务 能 力 。 

根据 任务 需求 和 需求 分 析 ， 组 建 公司 办 公 区 的 网 络 结构 ， 如 图 5-16 所 示 。 





全 
内 部 主机 Www 站 点 


图 5-16 公司 办 公 区 的 网 络 结构 


5.2.4 NAT Server 知识 链接 


潼 洲 营 粮 半 ”车 潍 R 舍 上 村 坟 纪 招 也 


1. 传统 NAT 的 缺点 


Basic NAT、NAPT 等 传统 NAT 技术 的 NAT 表 项 都 是 由 内 部 主机 主动 向 公 网 主机 发 起 
访问 而 触发 建立 的 ， 而 无 法 由 公 网 主机 发 起 访问 而 建立 ， 它 们 只 能 实现 内 部 网 络 访问 外 部 














部 





中 EE 





网 络 ， 并 隐藏 了 内 部 主机 (内 网 对 外 网 而 言 是 透明 的 ， 在 一 定 程 度 上 保护 了 内 部 网 络 的 安 
全 )， 而 在 网 络 中 ， 有 时 需要 将 内 部 主机 发 布 到 外 网 ， 为 外 部 用 户 提供 访问 服务 能 力 。 要 实 
现 此 功能 ， 利 用 Basic NAT、NAPT 等 传统 NAT 技术 是 无 法 实现 的 ， 此 时 就 需要 利用 NAT 
Server 技术 。 

Basic NAT， 即 可 静态 映射 技术 ， 通 过 网 络 管理 员 手 工 建立 一 条 私有 卫 地 址 和 公有 下 
地 址 固定 的 映射 关系 (该 映射 关系 是 不 会 动态 发 生变 化 的 ， 除 非 网 络 管理 员 手 工 修改 )。 外 
部 用 户 访问 内 部 主机 时 ， 只 需要 访问 该 映射 的 公有 地 址 即 可 。NAT Server 的 实现 原理 如 
5-17 所 示 。 
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5-17 NAT Server 的 实现 原理 


网 络 管理 员 通 过 手工 方式 在 路 由 器 中 建立 一 条 固定 的 私有 IP 地 址 和 公有 IP 地 址 的 映 
射 关 系 : 10.0.0.1:8080----198.76.28.11:80。 当 外 部 主机 HostC 想 要 访问 内 网 中 的 HostA 时 ， 
直接 访问 198.76.28.11:80 即 可 。 


2. 配置 命令 


路 由 器 的 基本 管理 方式 和 配置 模式 与 交换 机 类 似 。H3C 系列 和 Cisco 系列 路 由 器 上 配 
置 NAT Server( 静 态 NAT) 的 相关 命令 ， 如 表 5-7 所 示 。 


表 5-7 NAT Server( 静 态 NAT) 配 置 命令 


























功能 H3C 系列 设备 Cisco 系列 设备 
配置 视图 基本 命令 配置 模式 基本 命令 
进入 接口 视图 系统 视图 [H3Cjinterface Ethemet | 全 局 配 Cisco(config)#interface 
0/1 置 模式 fastEthernet 0/1 
指定 NAT 内 具体 配 Cisco(config-if)#ip nat 
接口 置 模式 | inside 
指定 NAT 外 具体 配 Cisco(config-if)#ip nat 
接口 置 模式 outside 
NAT Server 配置 | 具体 视图 [H3C-EthemetO/1]nat 具体 配 Cisco(config)#ip nat inside 
(静态 NAT 映射 ) server protocol tcp 置 模式 source static 192.168.10.3 
global 10.10.47.12 www 10.10.47.12 
inside 192.168.10.3 www 
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5.2.5 ”NAT Server 任务 实施 TR 


1. 实施 规划 





1)” 实 训 拓 扑 结 构 De 
根据 任务 的 需求 与 分 析 , 实 训 的 拓扑 结构 及 网 络 参 Eom 

数 如 图 5-18 所 示 ， 以 PC1、PC2、PC3 分 别 模拟 公司 的 
办 公 PC、WWW 服务 器 和 外 网 主机 。 











2)” 实 训 设 备 | 国 wv 
根据 任务 的 需求 和 实 训 拓 扑 , 每 个 实 训 小 组 的 实 训 en 
设备 配置 清单 如 表 5-8 所 示 。 5-18” 实 训 的 拓扑 结构 及 网 络 参数 


表 5-8 实 训 设备 配置 清单 


H3C MSR20-40 
H3C E126A 


Windows 2003/Windows 7 





3) ”I 了 P 地 址 规划 
根据 需求 分 析 本 任务 的 I 了 P 地 址 规划 ， 如 表 5-9 所 示 。 


表 5-9 ”IP 地 址 规划 


IP 地 址 
192.168.10.2 92.168.10.254 
192.168.10.3 92.168.10.254 


10.10.47.15/25 
Ethernet 0/0 192.168.10.254/24 
Ethernet 0/1 10.10.47.11/25 








2. 实施 步骤 

任务 的 实施 步骤 如 下 。 

(1) 根据 实 训 拓扑 图 进行 交换 机 、 计 算 机 的 线 缆 连 接 ， 配 置 PC1、PC2 的 瑟 地 址 。 

(2) 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ”组 件 程序 通过 串口 连接 到 交换 机 的 
配置 界面 ， 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 8、 奇 偶 校 
验 无 、 数 据 流 控制 无 )。 

(3) 超级 终端 登录 路 由 器 ， 进 行 任务 的 相关 配置 。 

(4) Ronuter 1 主要 配置 清单 如 下 。 


-、R1 初始 化 配置 
<H3C>system-view 
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[H3C]sysname Il 
二 、R1l 接口 参数 配置 
rllinterface Ethernet 0/0 





全 
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[r1-Ethernet0/0]ip address 192.168.10.254 255.255.255.0 

[r1-Ethernet0/0]quit 

[rllinterface Ethernet 0/1 

[r1-Ethernet0/1]ip address 10.10.47.11 255.255.255.128 

[r1-Ethernet0/1]quit 

[rl]ip route-static 0.0.0.0 0.0.0.0 10.10.47.126 

三 、nat server 配置 

[rl-EthernetO/l]nat server protocol tcp global 10.10.47.12 www inside 192.168.10.3 www 
上 将 本 地 地 址 192.168.10.3 的 www 服务 静态 映射 给 全 局 地 址 10.10.47.12 的 www 服务 


(5) 在 PC2 上 搭建 www 站 点 。 





5.2.6 NAT Server 任务 验收 


1. 设备 验收 
根据 实 训 拓扑 图 检查 验收 路 由 器 、 计 算 机 的 线 缆 连接 ， 检 查 PC1、PC2、PC3 的 下 地 址 。 
2. 配置 验收 


查看 NAT 映射 表 : 
1 .系统 测试 


[rll]ldisplay nat server 

NAT server in private network information: 
There are currently 1 internal server(s) 
Interface: Ethernet0/1, Protocol: 6(tcp) 


Global: 10.10.47.12 : 80 (www) 
Local : 192.168.10.3 : 80 (www) 
3. 功能 验收 


在 PC1( 员 工 机 ) 上 可 以 通过 浏览 器 输入 : http://192.168.10.3， 访 问 公司 的 WWW 服务 ， 
如 图 5-19 所 示 。 
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图 5-19 内 部 主机 访问 WWW 服务 


在 外 网 计算 机 PC3 上 通过 浏览 器 输入 http://10.10.47.73， 访问 WWW 服务 ， 如 图 5-20 
所 示 。 
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5-20 ”外 网 主机 访问 内 部 WWW 服务 


5.2.7 NAT Server 任务 总 结 


针对 某 公司 办 公 区 网 络 的 改造 任务 的 内 容 和 目标 ， 根 据 需 求 分 析 进 行 了 实 训 的 规划 和 
实施 ,通过 本 任务 进行 了 路 由 器 NAT Server 配置 并 完成 实验 。 实 现 了 将 内 部 主机 发 布 到 外 
网 上 ， 为 外 部 用 户 提供 访问 服务 能 力 。 


5.3 任务 3: 公司 防火 墙 配置 


5.3.1 防火 墙 任务 描述 


某 集团 公司 是 一 家 高 速 发 展 的 现代 化 企业 ， 拥 有 数量 较 多 的 计算 机 ， 建 立 了 多 台 服 务 
器 对 外 提供 服务 ， 目 前 内 部 上 网 采用 的 代理 服务 器 ， 对 外 提供 服务 的 服务 器 采用 的 是 双 网 
卡 。 目 前 ， 公 司 计划 采用 100M 光纤 宽带 接 入 互联 网 ， 希 望 公司 内 部 能 稳定 安全 地 访问 互 
联网 ， 同 时 还 需要 通过 互联 网 提供 公司 的 网 站 、 邮 件 服 务 。 为 保障 公司 网 络 出 口 的 安全 ， 
请 进行 规划 并 实施 。 
5.3.2 ”防火 墙 任务 目标 与 目的 

1. 任务 目标 

针对 公司 互联 网 出 口 的 网 络 安全 进行 规划 并 实施 。 

2. 任务 目的 

通过 本 任务 进行 防火 墙 配置 的 实 训 ， 以 帮助 读者 掌握 防火 墙 的 基础 配置 、NAT 配置 ， 
了 解 防火 墙 规则 的 配置 方法 ， 具 备 应 用 防火 墙 的 能 
5.3.3 防火墙 任务 需求 与 分 析 

1. 任务 需求 

集团 公司 内 部 能 稳定 安全 地 访问 互联 网 ， 同 时 还 需要 通过 互联 网 提供 公司 的 网 站 、 邮 








件 服务 。 
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2. 需求 分 析 


需求 1: 公司 内 部 能 稳定 安全 地 访问 互联 网 。 

分 析 1: 配置 防火 墙 规则 ， 使 内 部 网 络 通过 NAT 转换 访问 外 部 网 络 。 

需求 2: 通过 互联 网 提供 公司 的 网 站 、 邮 件 服务 。 

分 析 2: 配置 防火 墙 规则 ， 使 外 部 网 络 通过 端口 映射 转换 访问 内 部 服务 器 的 服务 。 


5.3.4 ”防火墙 知识 链接 


1. 防火 墙 


传统 意义 上 的 防火 墙 被 设计 用 于 建筑 物 防止 火灾 蔓延 的 隔断 墙 。 在 网 络 上 防火 墙 简单 
的 可 以 只 用 路 由 器 实现 ， 复 杂 的 可 以 用 主机 甚至 一 个 子 网 来 实现 。 设 置 防火 墙 的 目的 都 是 
在 内 部 网 与 外 部 网 之 间 设 立 唯一 的 通道 ， 简 化 网 络 的 安全 管理 。 

防火 墙 是 一 种 高 级 访问 控制 设备 ， 置 于 不 同安 全 域 之 间 ， 是 不 同安 全 域 之 间 的 唯一 通 
道 ， 能 根据 企业 有 关 的 安全 政策 执行 允许 、 拒 绝 、 监 视 、 记 录 进 出 网 络 的 行为 。 防 火 墙 是 
一 个 或 一 组 系统 ， 用 于 管理 两 个 网 络 之 间 的 访问 控制 及 策略 ， 所 有 从 内 部 访问 外 部 的 数据 
流 和 外 部 访问 内 部 的 数据 流 均 必 须 通过 防火 墙 ， 只 有 在 被 定义 为 允许 的 数据 流 才 可 以 通过 
防火 墙 ， 如 图 5-21 所 示 。 防 火 墙 本 身 必 须 有 很 强 的 免疫 力 。 




















Source | Destination | Permit | Protocol 





| Hosta HostC | Pass | TCP 





| HostB HostC | Block | UDP 


| 


| 
| 网 络 的 行为 | 
图 5-21 防火 墙 


防火 墙 通常 使 用 的 安全 控制 手段 主要 有 包 过 滤 、 状 态 检测 和 代理 服务 。 

1)” 包 过 滤 技 术 

包 过 滤 技 术 是 一 种 简单 、 有 效 的 安全 控制 技术 ， 它 通过 在 网 络 间 相互 连接 的 设备 上 加 
载 多 许 、 禁 止 来 自 某 些 特定 的 源 地 址 、 目 的 地 址 、TCP 端口 号 等 规则 ， 对 通过 设备 的 数据 
包 进 行 检查 ， 限 制 数 据 包 进出 内 部 网 络 。 包 过 滤 的 最 大 优点 是 对 用 户 透明 ， 传 输 性 能 高 。 
但 由 于 安全 控制 层次 在 网 络 层 、 传 输 层 ， 安 全 控制 的 力度 也 只 限于 源 地 址 、 目 的 地 址 和 端 
口号 ， 因 而 只 能 进行 较为 初步 的 安全 控制 ， 对 于 恶意 的 拥塞 攻击 、 内 存 履 盖 攻击 或 病毒 等 
高 层次 的 攻击 手段 ， 则 无 能 为 力 。 
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2) ”状态 检测 

状态 检测 是 比 包 过 滤 更 为 有 效 的 安全 控制 方法 。 对 新 建 的 应 用 连接 ， 状 态 检测 检查 预 
先 设置 的 安全 规则 ， 人 允许 符合 规则 的 连接 通过 ， 并 在 内 存 中 记录 下 该 连接 的 相关 信息 ， 生 
成 状态 表 。 对 该 连接 的 后 续 数 据 包 ， 只 要 符合 状态 表 ， 就 可 以 通过 。 这 种 防火 墙 握 弃 了 简 
单 包 过 滤 防 火 墙 仅仅 考察 进出 网 络 的 数据 包 而 不 关心 数据 包 状态 的 缺点 ， 在 防火 墙 的 核心 
部 分 建立 状态 连接 表 ， 维 护 了 连接 ， 将 进出 网 络 的 数据 当成 一 个 个 的 事件 来 处 理 。 

应 用 网 关 防 火 墙 检查 所 有 应 用 层 的 信息 包 ， 并 将 检查 的 内 容 信息 放 入 决策 过 程 ， 从 而 
提高 网 络 的 安全 性 。 然 而 ， 应 用 网 关 防火 墙 是 通过 打破 客户 机 /服务 器 模式 实现 的 。 每 个 客 
户 机 /服务 器 通信 需要 两 个 连接 : 一 个 是 从 客户 端 到 防火 墙 ， 另 一 个 是 从 防火 墙 到 服务 器 。 
另外 ， 每 个 代理 需要 一 个 不 同 的 应 用 进程 ， 或 一 个 后 台 运行 的 服务 程序 ， 对 每 个 新 的 应 用 
必须 添加 针对 此 应 用 的 服务 程序 ， 和 否则 不 能 使 用 该 服务 。 所 以 ， 应 用 网 关 防 火 墙 具 有 可 伸 
缩 性 差 的 缺点 。 

3) ”代理 服务 

代理 服务 型 防火 墙 是 防火 墙 的 一 种 ， 代 表 某 个 专用 网 络 同 互联 网 进行 通信 的 防火 墙 ， 
类 似 在 股东 会 上 某 人 以 你 的 名 义 代表 你 来 投票 。 当 你 将 浏览 器 配置 成 使 用 代理 功能 时 ， 防 
火 墙 就 将 你 的 浏览 器 的 请 求 转 给 互联 网 ， 当 互联 网 返回 响应 时 ， 代 理 服务 器 再 把 它 转 给 你 
的 浏览 器 。 代 理 服 务 器 也 用 于 页 面 的 缓存 ， 代 理 服务 器 在 从 互联 网 上 下 载 特定 页 面前 先 从 
缓存 器 取出 这 些 页 面 。 内 部 网 络 与 外 部 网 络 之 间 不 存在 直接 连接 。 

代理 服务 器 提供 了 详细 的 日 志和 审计 功能 ， 大 大 提高 了 网 络 的 安全 性 ， 也 为 改进 现 有 
软件 的 安全 性 能 提供 了 可 能 ， 但 会 降低 网 络 性 能 。 


2. 防火 墙 的 工作 模式 


防火 墙 一 般 位 于 企业 内 部 网 络 出 口 与 互联 网 直接 相连 是 企业 网 络 的 第 一 道 屏障 。 根 据 
防火 墙 和 内 外 网 络 的 结构 ， 防 火 墙 具有 三 种 工作 模式 ， 即 透明 模式 、 路 由 模式 和 混合 模式 。 

1) ”透明 模式 

透明 模式 的 防火 墙 就 好 像 是 一 台 网 桥 ， 不 改动 其 原 有 的 网 络 拓扑 结构 。 网 络 设备 和 所 
有 计算 机 的 设置 (包括 IP 地 址 和 网 关 ) 无 须 改 变 ， 同 时 解析 所 有 通过 它 的 数据 包 ， 既 增加 了 
网 络 的 安全 性 ， 又 降低 了 用 户 管理 的 复杂 程度 。 透 明 模式 的 防火 墙 结构 如 图 5-22 所 示 。 
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5-22 ”透明 模式 的 防火 墙 结构 





TT EEN EFF 


2) ”路 由 模式 

传统 防火 墙 一 般 工作 于 路 由 模式 ， 防 火 墙 可 以 让 处 于 不 同 网 段 的 计算 机 通过 路 由 转发 
的 方式 互相 通信 并 可 将 内 部 私有 IP 地 址 转换 为 互联 网 地 址 。 路 由 模式 的 防火 墙 结构 如 
5-23 所 示 。 





199.168.1.2 199.168.1.3 199.168.1.4 199.168.1.5: 
HostA HostB HostC HostD 


:Default Gateway=199.168.13 ty SNP 

: 199.168.18 

了 防火 过 相当 于 一 个 简 本 :一 * 提 供 简单 的 路 由 功能 
单 的 路 由 器 人 





5-23 ”路 由 模式 的 防火 墙 结构 
3) ”混合 模式 
在 企业 复杂 的 网 络 环 境 中 常常 需要 使 用 透明 及 路 由 的 混合 模式 。 混 合 模式 防火 墙 结构 
如 图 5-24 所 示 。 


HostC HostB Host A HostD 
10.1.2.3 192.168.1.38 192.168.1.37 192.168.1.40 









防火 墙 此 时 工作 在 混合 模式 下 


不 同 子 网 通过 防火 增 做 
> _ 静 太 路 由 进行 通信 。。。。 同一 网 段 的 地 址 通过 防火 增 的 透 
昌 模 式 进行 通信 


图 5-24 混合 模式 的 防火 墙 结构 


5.3.5 ”防火 墙 任务 实施 


1. 实施 规划 
1)” 实 训 拓 扑 结 构 
根据 任务 的 需求 与 分 析 , 实 训 的 拓扑 结构 及 网 络 参数 如 图 5-25 所 示 ， 以 PC1 模拟 网 络 
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管理 员 的 计算 机 进行 配置 和 管理 ,PC2 模拟 公司 用 户 计 算 机 ,PC3 模拟 互联 网 的 机 器 , Server 
模拟 公司 Web 服务 器 和 SMTP 服务 器 。 






NS 


PC3 IP:202.1.1.230 


GE2 IP:202.1.1.1/30 





T LAN: 
IP:192 168. 10. 100/24 
GE1 IP:192.168.1.1/24 


PC1 
IP:192,168,10.200/24 


7 
lh 


> 了 


记 erver 
TIP:192.168,1.3/24 
TIP:192.168.1.2/24 WEB、 SMTP 


图 5-25 ” 实 训 的 拓扑 结构 及 网 络 参数 
2) ” 实 训 设 备 
根据 任务 的 需求 和 实 训 拓扑 ， 每 实 训 小 组 的 实 训 设备 配置 清单 ， 如 表 5-10 所 示 。 
表 5-10 ” 实 训 设备 配置 清单 
设备 类 型 设备 型 号 数 量 

交换 机 H3C E126A 
防火 寺 
计算 机 


服务 器 Windows Server 2003 
双 纹 线 


3) ”了 P 地 址 规划 
根据 任务 的 需求 分 析 和 VLAN 的 规划 ， 本 实 训 任务 中 各 部 门 的 下 地 址 网 段 规划 为 
192.168.1.0/24, 外 部 人 P 网 段 规 划 为 202.1.1.0/30。 各 实 训 设 备 的 下 地 址 规划 如 表 5-11 所 示 。 





表 5-11 实 训 设备 的 IP 地址 规划 





ET 





接 口 网 关 地 址 
防火 墙 GE1 192.168.1.1/24 
防火 墙 GE2 202.1.1.1/30 
PC1 192.168.10.200/24 
PC2 192.168.1.2/24 192.168.1.1 





PES 202.1.1.2/30 








中 ET 








续 表 
接口 IP 地 址 网 关 地 址 
服务 器 192.168.1.3/24 192.168.1.1 
交换 机 192.168.1.4/24 192.168.1.1 
2. 实施 步骤 


任务 的 实施 步骤 如 下 。 

(1) 根据 实 训 拓扑 图 进行 交换 机 、 防 火 墙 、 计 算 机 的 线 缆 连 接 ， 配 置 PC1、PC2、PC3 
和 Server 的 了 P 地址 ， 配 置 交 换 机 SW1 的 VLAN1 IP 地 址 为 192.168.1.4。Server 安装 IIS， 
配置 WEB、SMTP 服务 。 

(2) 防火 墙 的 初始 化 配置 。 锐 捷 RG-WALL160M 防火 墙 及 相关 系列 可 采用 Web 方式 
进行 配置 , 进行 初始 化 配置 , 其 配置 过 程 依次 为 配置 管理 主机 、 安装 认证 管理 员 身 份 证 书 ( 文 
件 )、 开 始 配置 管理 。 























[提示 : 防火 墙 的 管理 接口 (MGM LAN 口 ) 为 专门 用 于 管理 和 配置 的 接口 ， 该 接口 的 初 


始 卫 地 址 为 192.168.10.100， 管 理 主机 的 瑟 必须 设置 为 192.168.10.200/24。 


@ 配置 管理 主机 。 使 用 PC1 作为 管理 防火 墙 的 管理 主机 ， 使 用 双 绞 线 将 其 连接 到 防 
火 墙 管理 口 。 在 管理 主机 运行 ping 192.168.10.100 验证 是 否 真正 连通 ， 如 不 能 连通 ， 请 检 
查 管理 主机 的 IP(192.168.10.200) 是 否 设置 正确 ， 是 否 连 接 在 与 防火 墙 的 管理 接口 上 。 

@@ ”安装 认证 管理 员 身 份 证 书 。 打 开 防火 墙 随机 光盘 中 的 Admin Cert 目录 ， 找 到 
admin.p12 管理 员 证 书 文件 ， 双 击 打 开导 入 正 浏览 器 ， 导 入 密码 为 123456。 

在 PCl1 上 运行 正 浏 览 器 , 在 地 址 栏 中 输入 https:// 192.168.10.100:6666, 弹出 一 个 对 话 
框 提示 接受 RG-WallAdmin 数字 证 书 ， 如 图 5-26 所 示 ， 单 击 “ 确 定 ” 按 钮 即 可 。 

@ 开始 配置 管理 。 系统 提示 输入 管理 员 账 号 和 口令 , 如 图 5-27 所 示 。 在 默认 情况 下 ， 
管理 员 账 号 是 admin， 密 码 是 firewall。 单 击 “ 登 录 ” 按 钮 ， 即 可 进入 防火 墙 管理 主 界面 ， 
如 图 5-28 所 示 。 防 火 墙 管理 界面 左 侧 为 树 形 结构 的 菜单 ， 右 侧 为 配置 管理 界面 ， 单 击 各 菜 
单项 熟悉 各 项 菜单 内 容 。 
































EI 了 
R 您 要 查看 的 网站 要 求 标识 。 请 选择 证 书 。 (Can 
| 帐 号: -in 
| 口 和 :| 
帮 瑟 到 
| 
图 5-26 “选择 数字 证 书 ” 对 话 框 图 5-27 防火 墙 登 录 界 面 
(3) 防火墙 的 接口 他 配置。 进入 防火 墙 的 配置 页 面 ， 依 次 选择 “网 络 配 置 ”“ 接 口 ” 


选项 ,， 单 击 “ 添 加 ”按钮 分 别 为 接口 添加 了 P 地 址 。 根据 任务 拓扑 添加 作为 防火 墙 内 部 接口 
的 他 地 址 。 作 为 LAN 口 的 接口 可 设 为 “允许 所 有 主机 PING”， 如 图 5-29 所 示 。 
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5-28 ”防火 墙 管理 主 界面 
根据 任务 拓扑 添加 作为 防火 墙 外 部 接口 的 了 P 地 址 ， 如 图 5-30 所 示 。 




















接口， [| Wa: Fe 可 
ET Feat | Ei ER 
网 : [EE | ND: EE D6, 356, 963 
办 洗 所 有 主机 PLN cal 计谋 所 有 主机 NS I 
用 于 管理 : a 用 于 管理 天 
和 放生 术 HI 5 
A < L 


5-29 ”内 部 接口 IP 地 址 配置 5-30 ”外 部 接口 IP 地 址 配置 


接口 配置 瑟 地 址 完成 后 的 状态 如 图 5-31 所 示 。 


网 站 配置 >> 接 DIE 
侈 许 所 有 主机 区 许 管 主机 。 允许 管 和 主机 
网 站 接口 。 接 DIP 天 到 Re gad 人 
GT 192.166.10.100 255 255 255.0 x v v v Eo 
el 192. 168.1.1 255 255 255.0 v 革 x X 巴 他 
x x x x 加 血 


[a 202.1.1.1 255 255 255.252 


图 5-31 ”接口 IP 地址 配置 状态 
增加 接口 耳 后 单 击 在 管理 界面 首页 右上 部 的 “保存 配置 ”进行 配置 的 保存 。 

(4) 对 象 的 定义 。 为 了 简化 防火 墙 安全 规则 的 定义 和 便于 配置 管理 ， 引 入 了 对 象 的 定 
义 ， 通 过 预先 定义 的 地 址 、 服 务 、 代 理 、 时 间 等 对 象 ， 可 将 具有 相同 属性 或 一 定 范围 的 目 
标 进 行 定 义 ， 在 配置 安全 规则 时 可 以 方便 地 进行 调用 。 如 图 5-32 所 示 为 地 址 列表 的 定义 。 
系统 预定 义 了 三 个 地 址 DMZ、Trust、Untrust 均 为 0.0.0.0。 


初 稳 疝 号 保存 配 杜 时 出 孔 置 硕 助 退出 

















anon/oooo 
.0.0.07 0.0.00 


图 5-32 ”地址 列表 的 定义 
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在 地 址 列表 里 添加 内 部 局 域 网 他 子 网 ， 如 图 5-33 所 示 。 
在 服务 器 地 址 里 添加 服务 器 地 址 192.168.1.3， 如 图 5-34 所 示 。 


























入 [am | 01-64 位 字母. 汉字 (本 个 汉字 各位). 闫 字 . 威 
eg ETFO 
© i1510 |f|[255.25.255.0 Sl i 
开 向 地 址 = 名称: | server ( 1-64 位 字母 、 汉字 (每 个 汉字 为 位 )、 数字 . 减 
vy 号 、 下划线 的 组 合 ) 
反 向 地 址 : C 由 一 L_ ”日 rd a 
5 











ol 攻 - Tf 地 址 与 权重 配对 填写 ,至 少 填写 一 对 ,权重 范围 : 1 一 65535) 


1 192.168.1.3 ] 1 ] 














2 [ ] 


图 5-33 ”内 部 子 网 地 址 定义 图 5-34 ”服务 器 地 址 定义 


(5) 安全 规则 的 配置 。 
安全 策略 是 防火 墙 的 核心 功能 ， 防 火 墙 的 所 有 访问 控制 均 根 据 安全 规则 的 设置 完成 。 


安全 规则 主要 包括 包 过 滤 规 则 、NAT 规则 (网 络 地 址 转换 )、 卫 映射 规则 、 端 口 映射 规则 等 。 


[好 提示 : 防火 墙 的 基本 策略 是 只 要 没有 明确 被 允许 的 行为 都 是 被 禁止 的 。 


根据 管理 员 定 义 的 安全 规则 完成 数据 帧 的 访问 控制 ， 规 则 策略 包括 “人 允许 通过 ”“ 禁 
止 通过 ”“NAT 方式 通过 ”“IP 映射 方式 通过 ”“ 端 口 映射 方式 通过 ”“ 代 理 方式 通过 ” 
“病毒 过 滤 方 式 通过 ”等 。 支 持 对 源 他 地 址 、 目 的 人 P 地 址 、 源 端口 、 目 的 端口 、 服 务 、 
流入 网 口 、 流 出 网 口 等 进行 控制 。 防 火 墙 还 可 以 根据 管理 员 定义 的 基于 角色 控制 的 用 户 策 
略 ， 并 与 安全 规则 策略 配合 完成 访问 控制 ， 包 括 限制 用 户 在 什么 时 间 、 什 么 源 瑟 地 址 可 以 
通过 防火 墙 访问 相应 的 服务 。 





[她 提示 : 防火 墙 按 从 上 到 下 的 顺序 进行 规则 匹配 ， 按 上 一 条 已 匹配 的 规则 执行 ， 不 再 匹 


配 该 条 规则 以 下 的 规则 。 锐 捷 防 火 墙 初始 无 任何 安全 规则 ， 即 拒绝 所 有 数据 包 
通行 。 


安全 规则 的 配置 ， 依 次 选择 “安全 策略 ”一 “安全 规则 ”选项 ， 然 后 单 击 “ 添 加 ” 按 
钮 ， 如 图 5-35 所 示 。 








EE 生 料 下 息 动 生 入 坦 询 刷新 
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图 5-35 ”安全 规则 的 配置 





根据 任务 需求 和 实 训 拓扑 ， 配置 防火 墙 规则 , 使 内 部 网 络 能 够 通过 NAT 转换 访问 外 部 
网 络 。 在 安全 规则 界面 添加 NAT 规则 ， 如 图 5-36 所 示 。 主 要 进行 配置 的 内 容 有 : “类 型 ” 
为 NAT，“ 源 地 址 ”为 预先 定义 的 内 部 子 网 lan，“ 目 的 地 址 ”为 any，“ 服 务 ” 为 any， 
操作 的 源 地 址 转换 选取 防火 墙 外 部 网 络 接口 的 IP202.1.1.1。 
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5-36 ”NAT 规则 配置 


配置 防火 墙 规则 ， 使 外 部 网 络 能 够 通过 端口 映射 转换 访问 内 部 服务 器 Server 的 Web、 
SMTP 服务 。 在 安全 规则 界面 添加 端口 映射 规则 ， 如 图 5-37 所 示 。 以 配置 Web 服务 映射 为 
例 ， 主 要 进行 配置 的 内 容 有 : “类 型 ”为 “端口 映射 ”，“ 源 地 址 ”为 any，“ 公 开 地 址 ” 
为 防火 墙 的 外 部 网 络 接口 的 IP202.1.1.1，“ 对 外 服务 ”为 htp， 公 开 地 址 映射 为 预先 定义 
的 防火 墙 外 部 接口 的 耳 地 址 202.1.1.1， 对 外 服务 映射 为 http。 
FEED 
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弛 于 寺 址 E77 日 
和 有 为: 二 
对 外 服 芝 员 抽 为: [TD 加 | 
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对 于 Server 的 SMTP 服务 进行 类 似 配 置 ， 再 增加 一 条 端口 映射 的 安全 规则 ， 如 图 5-38 
所 示 。 









































? 需 则 序号 : lB | 
视 册 名 3 (1-64 位 字 颖 、 祝 宇 ( 紧 个 识字 汶 2 位 )、 数 字 、 减 号 、 
下 全 ) 
Rl Esl [] 
条 件 
oe 日 
tl 地 址 下: 202 .1.1 四 | 
拖 玛 
员外 服务 。 [smtp - 
操作 
Ea 人 直 erer EE 
和 的 为 FE 日 了 觅 灶 为 mm | 
对 外 服务 对 朋 为 : [antp 本 
rp 区 Sl 时 记录 唱 
全 选项 


图 5-38 SMTP 端口 映射 规则 配置 
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通过 以 上 步 又， 完成 了 防火 墙 的 基本 配置 、 对 象 定义 、 安 全 规则 的 配置 ， 实 现任 务 的 





5.3.6 防火墙 任 务 验收 


1. 设备 验收 


根据 实 训 拓扑 图 检查 验收 计算 机 、 交 换 机 、 防 火 墙 的 线 缆 连 接 , 检查 PC1、PC2、PC3、 
Server、 防 火 墙 的 他 地址 。 


2. 配置 验收 


1) ”接口 他 配置 

在 防火 墙 管理 界面 的 网 络 配置 菜单 的 接口 耳 项， 检查 各 网 络 接口 的 了 P 参数 是 否 符 
实 训 参 数 规划 。 

2) ”对 象 定 义 配 置 

在 防火 墙 管理 界面 的 对 象 定义 菜单 的 地 址 项 ， 检 查 定义 的 地 址 列表 和 服务 器 地 址 是 否 
符合 实 训 参 数 规划 。 

3) ”安全 规则 配置 

在 防火 墙 管理 界面 的 安全 策略 菜单 的 安全 规则 项 ， 检 查 添加 的 各 项 安全 规则 是 否 符合 
任务 需求 ， 如 图 5-39 所 示 。 


> 














安全 策略 安全 规则 相关 设置 

序 叶 ”规则 各 亚 地 址 目的 坑 址 服务 类 型 选项 
a ta ay a DAT 规则 

FTF2 x wy 202.1.41.41 http 议员 和 

me ay 202.1.1.1 mt 谊 史册 


图 5-39 ”安全 规则 配置 
3. 防火 墙 功能 验收 
1) NAT 功能 
在 PC2 上 使 用 Ping 命令 检查 与 PC3 的 连通 性 , NAT 功能 配置 正确 应 能 连通 PC3 的 人 Pp 
地 址 ， 此 时 PC2 的 瑟 地 址 被 转换 成 了 防火 墙 的 外 部 接口 瑟 地 址 ， 如 图 5-40 所 示 。 




















5-40 ”PC2 与 PC3 通过 NAT 连通 


2) ”端口 映射 功能 
在 PC3 上 访问 Server 上 的 Web、SMTP 服务 , 在 端口 映射 功能 配置 正确 的 情况 下 , PC3 
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的 内 部 卫 地 址 和 端口 被 映射 为 了 防火 墙 的 外 部 接口 地 址 和 端口 , 使 用 防火 墙 的 外 部 接口 地 
址 和 端口 能 访问 Server 上 的 Web、SMTP 服务 (如 http://202.1.1.1)。 此 时 可 以 通过 防火 墙 管 
理 界面 的 系统 监控 菜单 的 网 络 监控 项 里 的 实时 监控 查看 端口 映射 的 转换 情况 ， 如 图 5-41 所 
示 , 图 中 目的 地 址 202.1.1.1 的 TCP 80 端口 (Web) 和 TCP 25 端口 (SMTP 服务 ) 被 转换 映射 为 
了 Server 的 卫 地址 192.168.1.3 的 TCP 80 端口 和 TCP 25 端口 。 
































不 二 人 控 » 网 络 具 控 实 时 航 控 

协议: TCP -| 

* 源 地 址 0000 7 区 50 ]。 端 c: [0 ”| (0-6ss3s, 0 表示 任意 端 了 ) 
+ 目的 地 址 - 0.000 |/[0.0.0.0 |[-] 端口: 0 (0-6ss3s, (表示 任意 端 号 ) 
排序 条 件 老 尝 六 基 前 坚 示 |[-| 








最 前 500 | 条 在 线 连 接 (目前 只 支持 查询 最 多 1000 个 连接 共 查 询 到 4 条 连接 


最 大 并 余 连 接 数 为 2000000) 
说 明 ;“ 查 词 "时 请 指定 岩 细 条 件 , 否则 , 查询 结果 较 多 会 影响 防火 墙 性 能 “导出 "时 可 以 指定 宽 远 的 条 件 , 以 便 技 术 人 员 对 结果 进行 分 析 ， 


号 符合 亲 件 风 连 按 
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5.3.7 防火墙 任务 总 结 
针对 某 集团 公司 互联 网 安全 访问 的 任务 内 容 和 目标 ， 通 过 需求 分 析 进 行 了 实 训 的 规划 
和 实施 ， 通 过 本 任务 进行 了 防火 墙 基础 配置 、 安 全 规则 配置 等 方面 的 实 训 。 
5.4 任务 4: 移动 用 户 访问 企业 网 资源 


5.4.1 SSL VPN 任务 描述 


某 公司 已 经 建立 了 企业 网 并 通过 防火 墙 与 互联 网 连接 。 由 于 业务 需要 ， 公 司 经 常 有 员 
工 到 外 地 出 差 ， 假 期 时 员工 在 家 也 需要 访问 公司 内 部 信息 资源 。 针 对 这 种 情况 ， 需 要 使 出 
差 及 在 家 的 公司 用 户 都 能 通过 互联 网 安全 地 访问 到 公司 的 内 部 资源 。 在 安全 上 要 能 提供 认 
证 、 访 问 授权 及 审核 功能 


5.4.2 SSL VPN 任务 目标 与 目的 


1. 任务 目标 
要 求实 现 用 户 在 公司 外 部 时 通过 互联 网 安全 访问 公司 资源 。 
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2. 任务 目的 
通过 本 任务 进行 VPN 的 安全 实 训 ， 以 帮助 读者 了 解 SSL VPN 的 功能 ， 了 解 VPN 设备 
的 SSL VPN 配置 方法 ， 具 备 VPN 实施 的 能 力 。 





5.4.3 SSL VPN 任务 需求 与 分 析 


1. 任务 需求 
企业 员工 在 外 要 能 通过 互联 网 访问 公司 信息 资源 。 公司 内 部 的 信息 资源 在 防火 墙 内 部 ， 
不 能 直接 放 在 互联 网 上 。 


2. 需求 分 析 


需要 通过 互联 网 访问 公司 内 部 信息 资源 , 采用 SSL VPN 是 一 种 安全 、 方 便 的 方式 。SSL 
既 能 实现 数据 的 加 密 ， 又 能 实现 访问 用 户 访问 的 认证 ， 访 问 资源 的 授权 及 审核 功能 。 








5.4.4 SSL VPN 知识 链接 


1.VPN 


在 传统 的 企业 网 络 配置 中 , 要 进行 异地 局 域 网 之 间 的 互联 , 传统 的 方法 是 租用 DDN( 数 
字数 据 网 ) 专 线 或 帧 中 继 。 这 样 的 通信 方案 必然 导致 高 昂 的 网 络 通 信和 维护 费用 。 对 移动 用 
户 与 远 端 个 人 用 户 而 言 ， 一 般 通过 拨号 线路 (Intemeb 进 入 企业 的 局 域 网 ， 而 这 样 必然 带 来 
安全 上 的 隐患 。 

VPN(Virtual Private Network， 虚 拟 专用 网 络 ) 是 通过 公共 网 络 (包括 因特网 、 帧 中 继 、 
ATM 等 ) 在 局 域 网 络 之 间或 单 点 之 间 安 全 地 传递 数据 的 技术 。 

VPN 通过 一 个 私有 的 通道 来 创建 一 个 安全 的 私有 连接 ， 将 远程 用 户 、 公 司 分 支 机 构 、 
公司 的 业务 伙伴 等 跟 企 业 网 连接 起 来 ， 形 成 一 个 扩展 的 公司 企业 网 。VPN 通过 一 个 公用 网 
络 (通常 是 因特网 ) 建 立 一 个 临时 的 、 安 全 的 连接 ， 是 一 条 穿 过 公用 网 络 的 安全 、 稳 定 的 隧 
道 。 使 用 这 条 隧道 可 以 对 数据 进行 加 密 ， 达 到 安全 使 用 私有 网 络 的 目的 。 

VPN 的 组 网 结构 如 图 5-42 所 示 。 





图 5-42 VPN 的 组 网 结构 
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1) ”VPN 的 特点 

VPN 主要 采用 了 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技术 和 使 用 者 与 设备 身份 认证 技术 。 
VPN 的 主要 特点 有 以 下 几 个 方面 。 

(1) 安全 保障 。VPN 通过 建立 一 个 隧道 ， 利 用 加 密 技术 对 传输 数据 进行 加 密 ， 以 保证 
数据 的 私有 和 安全 性 。 

(2) 服务 质量 保证 (QoS)。VPN 可 以 按 不 同 要 求 提 供 不 同等 级 的 服务 质量 保证 。 
VPNQoS 通过 流量 预测 与 流量 控制 策略 ， 可 以 按照 优先 级 分 别 实现 带宽 管理 ， 使 得 各 类 数 
据 被 合理 地 先后 发 送 ， 并 预防 阻塞 的 发 生 。 

(3) 可 扩充 性 和 灵活 性 。VPN 必须 能 够 支持 通过 Intranet 和 Extranet 的 任何 类 型 的 数 
据 流 ， 方 便 增加 新 的 节点 ， 支 持 多 种 类 型 的 传输 媒介 ， 可 以 满足 同时 传输 语音 、 图 像 、 数 
据 等 新 应 用 对 高 质量 传输 以 及 带宽 增加 的 需求 。 

(4) 可 管理 性 。VPN 能 从 用 户 角 度 和 运营 商 角 度 方便 地 进行 管理 、 维 护 。VPN 管理 主 
要 包括 安全 管理 、 设 备 管理 、 配 置 管理 、 访 问 控制 列表 管理 、QoS 管理 等 内 容 。 

2) VPN 的 分 类 

根据 不 同 的 划分 标准 ，VPN 可 以 按 几 个 标准 进行 分 类 。 

(1) 按 VPN 的 协议 分 类 。VPN 的 隧道 协议 主要 有 PPTP、L2TP、IPSec 以 及 SSL， 其 
中 PPTP 和 L2TP 协议 工作 在 OSI 模型 的 第 二 层 ， 又 称 为 二 层 隧 道 协 议 ; IPSec 是 第 三 层 隧 
道 协议 ， 是 最 常见 的 用 于 Lan To Lan( 网 对 网 ) 的 协议 ，SSL VPN 采用 了 SSL 协议 ， 该 协议 
是 介 于 HTTP 层 及 TCP 层 的 安全 协议 。 

(2) 按 VPN 的 应 用 分 类 。Access VPN( 远 程 接 入 VPN): 客户 端 到 网 关 ， 使 用 公共 网 络 
作为 骨干 网 在 用 户 与 网 关 设 备 之 间 传 输 VPN 的 数据 流量 。 

Intranet VPN( 内 联网 VPN): 网 关 到 网 关 ， 通过 公共 网 络 或 专用 网 络 连接 来 自 公 司 的 
资源 。 

Extranet VPN( 外 联网 VPN): 与 合作 伙伴 企业 网 构成 Extranet， 将 一 个 公司 与 男 一 个 公 
司 的 资源 进行 连接 。 

3) VPN 的 部 署 模式 

VPN 的 部 署 模式 是 指 VPN 设备 以 什么 样 的 工作 模式 部 署 到 客户 网 络 中 去 ， 不 同 的 部 
署 方 式 对 企业 的 网 络 影响 各 有 不 同 ， 具 体 以 何 种 部 署 方 式 需 要 综合 客户 具体 的 网 络 环境 和 
客户 的 功能 需求 而 定 。VPN 的 部 署 模式 一 般 分 为 网 关 模 式 和 单 臂 模式 。 

(1) 网 关 模 式 。 网 关 模 式 时 SSL 设备 工作 层次 基本 与 路 由 器 或 包 过 滤 防 火 墙 相当 ， 具 
备 基 本 的 路 由 转发 及 NAT 功能 。 一 般 在 客户 原 有 网 络 环境 中 添加 部 署 SSL 设备 时 不 采用 
这 种 模式 ， 因 为 这 种 部 署 模 式 需 要 对 客户 的 网 络 环境 做 较 大 的 改动 。 一 般 此 种 部 署 模式 的 
客户 网 络 环境 规模 比较 小 ,用 SSL 设备 蔡 换 原 有 部 署 在 出 口 的 路 由 器 或 防火 墙 ， 或 者 是 客 
户 在 规划 新 网 络 建设 时 将 SSL 部 署 为 网 关 模式 。 网 关 模 式 的 典型 网 络 结构 如 图 5-43 所 示 。 

(2) 单 臂 模式 。 单 臂 模式 时 SSL 设备 工作 模式 基本 与 一 台 内 网 服务 器 相当 ， 由 前 置 设 
备 将 SSL 服务 对 外 发 布 ， 该 模式 下 仅 处 理 VPN 数据 。 一 般 在 客户 原 有 网 络 环境 中 添加 部 
署 SSL 设备 时 将 采用 这 种 模式 ， 因 为 这 种 部 署 模式 需要 对 客户 的 网 络 环境 无 变动 ， 哪 怕 设 
备 宕 机 也 不 会 影响 网 络 。 
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单 臂 模式 部 属 只 需要 连接 LAN 口 到 内 网 ， 防 火 墙 、NAT、DHCP 等 功能 无 法 使 用 ， 如 
客户 出 口 有 前 置 防火 墙 或 网 络 规模 比较 大 建议 用 单 臂 模式 。 单 臂 模 式 的 典型 网 络 结构 如 
5-44 所 示 。 





图 5-44 VPN 的 单 臂 模式 


2. SSL VPN 
SSL VPN 即 指 采 用 SSL (Security Socket Layer) 协 议 来 实现 远程 接 入 的 一 种 新 型 VPN 技 
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术 。SSL 协议 是 网 景 公司 提出 的 基于 Web 应 用 的 安全 协议 ， 它 包括 服务 器 认证 、 客 户 认 证 
(可 选 )、SSL 链 路 上 的 数据 完整 性 和 SSL 链 路 上 的 数据 保密 性 。 对 内 、 外 部 应 用 来 说 ， 使 
用 SSL 可 保证 信息 的 真实 性 、 完 整 性 和 保密 性 。 目 前 ，SSL 协议 被 广泛 应 用 于 各 种 浏览 器 
应 用 , 也 可 以 应 用 于 Outlook 等 使 用 TCP 协议 传输 数据 的 C/S 应 用 。 正 因为 SSL 协议 被 内 
置 于 正 等 浏览 器 中 ,使 用 SSL 协议 进行 认证 和 数据 加 密 的 SSL VPN 就 可 以 免 于 安装 客户 
端 。 相 对 于 传统 的 IPSEC VPN 而 言 ，SSL VPN 具有 部 署 简单 、 无 客户 端 、 维 护 成 本 低 、 网 
络 适应 强 、 安 全 性 高 等 优点 。 

SSL VPN 技术 主要 具有 以 下 几 个 特点 。 

(1) 适合 点 对 网 的 连接 。 

(2) 无 须 手动 安装 任何 VPN 客户 端 软件 。 

(3) 兼容 性 好 ， 支 持 各 种 操作 系统 和 终端 ， 不 会 与 终端 防火 墙 、 杀 毒 软件 冲突 。 

(4) 细致 的 访问 权限 控制 。 

目前 , 各 主流 网 络 产 品 厂商 (CISO、H3C、 锐 捷 、 深信 服 ) 都 有 专用 的 VPN 设备 提供 SSL 
VPN、IPSec VPN， 其 中 深信 服 是 IPSec VPN 和 SSL VPN 国家 标准 参与 制定 者 ， 其 VPN 设 
备 融合 了 IPSecVPN 和 SSLVPN， 在 国内 具有 较 高 的 市 场 占有 率 。 


3. IPSec VPN 


IPSec VPN 即 指 采用 IPSec 协议 来 实现 远程 接 入 的 一 种 VPN 技术 。IPSec VPN 主要 通 
过 隧道 模式 来 实现 两 个 网 络 通过 公共 网 络 进行 安全 加 密 的 连接 。 

IPSec 是 一 种 开放 标准 的 框架 结构 ， 特 定 的 通信 方 之 间 在 瑟 层 通过 加 密 和 数据 摘要 等 
手段 ， 来 保证 数据 包 在 Intemet 网 上 传输 时 的 私密 性 、 完 整 性 和 真实 性 。 

IPSec 协议 工作 在 OSI 模型 的 第 三 层 ， 使 其 在 单独 使 用 时 适 于 保护 基于 TCP 或 UDP 
的 协议 。 通 常 ， 两 端 都 需要 IPSec 配置 ( 称 为 IPSec 策略 ) 来 设置 选项 与 安全 设置 ， 以 允许 
两 个 系统 对 如 何 保护 它们 之 间 的 通信 达成 协议 。 

IPSec 是 一 组 协议 套件 ， 其 各 种 协议 统称 为 IPSec。IPSec 主要 由 两 大 部 分 组 成 : 
QIKE(Intemet Key Exchange) 协 议 ， 用 于 交换 和 管理 在 VPN 中 使 用 的 加 密 密 钥 ， 建 立 和 维 
护 安全 联盟 的 服务 。@ 保 护 分 组 流 的 协议 , 包括 加 密 分 组 流 的 封装 安全 载荷 协议 (ESP 协议 ) 
或 认证 头 协议 (AH 协议 )， 用 于 保证 数据 的 机 密 性 、 来 源 可 靠 性 (认证 )、 无 连接 的 完整 性 并 
提供 抗 重播 服务 。 

1) ”安全 联盟 

安全 联盟 (Security Association，SA) 是 IPSec 的 基础 ， 也 是 IPSec 的 本 质 。SA 是 通信 
对 等 体 间 对 某 些 要 素 的 约定 。 例 如 ， 使 用 哪 种 协议 (AH、ESP 还 是 两 者 结合 使 用 )、 协 议 的 
操作 模式 (传输 模式 和 隧道 模式 )、 密 码 算 法 (DES 和 3DES)、 特 定 流 中 保护 数据 的 共享 密 钥 
以 及 密 钥 的 生存 周期 等 。 通 过 SA，IPSec 能 够 对 不 同 的 数据 流 提供 不 同 级 别 的 安全 保护 。 
例如 , 某 个 组 织 的 安全 策略 可 能 规定 来 自 特 定子 网 的 数据 流 应 同时 使 用 AH 和 ESP 进行 保 
护 ， 并 使 用 3DES( 三 重 数据 加 密 标准 ) 进 行 加 密 。 

安全 联盟 是 单 向 的 ， 在 两 个 对 等 体 之 间 的 双向 通信 ， 最 少 需要 两 个 安全 联盟 来 分 别 对 
两 个 方向 的 数据 流 进行 安全 保护 。 同时, 如 果 希 望 同时 使 用 AH 和 ESP 来 保护 对 等 体 间 的 
数据 流 ， 则 分 别 需要 两 个 SA， 一 个 用 于 AH， 另 一 个 用 于 ESP。 
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安全 联盟 由 一 个 三 元 组 来 唯一 标识 ， 这 个 三 元 组 包括 SPI(Security Parameter Index， 安 
全 参数 索引 )、 目 的 IP 地 址 、 安 全 协议 号 (AH 或 ESP)。SPI 是 为 唯一 标识 SA 而 生成 的 一 


个 32 比特 的 数值 ， 它 在 AH 和 ESP 头 中 传输 。 
2) AH 与 ESP 


IPSec 提供 了 两 种 安全 机 制 : 认证 和 加 密 。 认 证 机 制 使 人 P 通信 的 数据 接收 方 确认 数据 
发 送 方 的 真实 身份 以 及 数据 在 传输 过 程 中 是 否 遭 算 改 。 加 密 机 制 通过 对 数据 进行 加 密 运 算 


来 保证 数据 的 机 密 性 ， 以 防 数据 在 传输 过 程 中 被 窃听 。 


鉴别 首部 协议 AH 协议 定义 了 认证 的 应 用 方法 ， 提 供 数据 源 认 证 、 数 据 完整 性 校 验 和 
防 报 文 重 放 功 能 ， 它 能 保护 通信 和 免 受 算 改 ， 但 不 能 防止 窃听 ， 适 合用 于 传输 非 机 密 数 据 。 
AH 的 工作 原理 是 在 每 一 个 数据 包 上 添加 一 个 身份 验证 报 文 头 ， 此 报 文 头 插 在 标准 IP 包头 
后 面 ， 对 数据 提供 完整 性 保护 。 可 选择 的 认证 算法 有 MD5(Message Digest)、SHA-1(Secure 





Hash Algorithm) 等 。AH 报 文 的 封装 如 图 5-45 所 示 。 


IP 首部 | AH 首部 TCP/UDP 报 文 段 | 


5-45 ”鉴别 首部 协议 AH 报 文 的 封装 





封装 安全 有 效 载荷 ESP 协议 定义 了 加 密 和 可 选 认证 的 应 用 方法 ， 提 供 加 密 、 数 据 源 认 
证 、 数 据 完整 性 校 验 和 防 报 文 重 放 功能 。ESP 的 工作 原理 是 在 每 一 个 数据 包 的 标准 IP 包头 
后 面 添 加 一 个 ESP 报 文 头 ， 并 在 数据 包 后 面 追加 一 个 ESP 尾 。 与 AH 协议 不 同 的 是 ，ESP 
将 需要 保护 的 用 户 数 据 进 行 加 密 后 再 封装 到 IP 包 中 ， 以 保证 数据 的 机 密 性 。 常 见 的 加 密 算 
法 有 DES、3DES、AES 等 。 同 时 还 可 以 选择 MD5、SHA-1 等 算法 保证 报 文 的 完整 性 和 真 


实 性 。ESP 报 文 的 封装 如 图 5-46 所 示 。 


一 一 一 一 一 一 鉴别 的 部 分 | 
加 密 的 部 分 


IP 首部 | ESP 首部 TCP/UDP 报 文 段 ESP 尾部 
协议 =50 |-- 原 数据 报 的 数据 部 分 一 | 
使 用 ESP 的 IP 数据 报 一 一 一 一 一 一 一 一 | 














ESP 鉴别 

















5-46 ”封装 安全 有 效 载荷 ESP 报 文 的 封装 


在 实际 进行 IP 通信 时 ,可 以 根据 实际 安全 需求 同时 使 用 这 两 种 协议 或 选择 使 用 其 中 的 
一 种 。AH 和 ESP 都 可 以 提供 认证 服务 。 不 过 ，AH 提供 的 认证 服务 要 强 于 ESP。 同 时 使 用 





AH 和 ESP 时 ， 设 备 支持 的 AH 和 ESP 联合 使 用 的 方式 为 : 先 对 报 文 进 行 ESP 封装 ， 














再 对 





报 文 进行 AH 封装 ， 封 装 之 后 的 报 文 从 内 到 外 依次 是 原始 下 报 文 、ESP 头 、AH 头 和 外 部 


IP 头 。 
3) “工作 模式 


IPSec 在 不 同 的 应 用 需求 下 会 有 不 同 的 工作 模式 ， 分 别 为 传输 模式 (Transport Mode) 及 


隧道 模式 (Tunnel Mode)。 


(1) 传输 模式 : 只 是 传输 层 数据 被 用 来 计算 AH 或 ESP 头 ，AH 或 ESP 头 以 及 ESP 加 
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密 的 用 户 数 据 被 放置 在 原 卫 包头 后 面 。 通常， 传输 模式 应 用 于 两 台 主 机 之 间 的 通信 ， 或 一 
台 主 机 和 一 个 安全 网 关 之 间 的 通信 。 

(2) 隧道 模式 : 用户 的 整个 人 P 数据 包 被 用 来 计算 AH 或 ESP 头 ，AH 或 ESP 头 以 及 
ESP 加 密 的 用 户 数据 被 封装 在 一 个 新 的 他 数据 包 中 。 通常， 隧道 模式 应 用 于 两 个 安全 网 关 
之 间 的 通信 。 

在 传输 模式 和 隧道 模式 下 的 安全 协议 数据 封装 形式 如 图 5-47 所 示 。 图 5-47 中 的 Data 
为 原来 的 他 报 文 。 




















工 
NS 传输 模式 隧道 模式 
(Transport Mode ) (Tunnel Mode) 
安全 协议 
AH TT De [ET bo] 
Esp Ce [esp| oa Tespr)]| [PE ie| oa [EspT 
AH-esp | [PTE TAH oa TespT] (PIA EsP] | Dats TS 














5-47 不 同 模式 下 的 安全 协议 数据 封装 形式 


4) ”因特网 密 钥 交换 协议 IKE 

在 实施 IPSec 的 过 程 中 , 可 以 使 用 IKE(Intemet Key Exchange, 因特网 密 钥 交 换 ) 协 议 来 
建立 SA， 该 协议 建立 在 由 ISAKMP(Internet Security Association and Key Management 
Protocol， 互 联网 安全 联盟 和 密 钥 管 理 协议 ) 定 义 的 框架 上 。IKE 为 IPSec 提供 了 自动 协商 交 
换 密 钥 、 建 立 SA 的 服务 ， 能 够 简化 IPSec 的 使 用 和 管理 ， 大 大 简化 IPSec 的 配置 和 维护 
工作 。 

IKE 使 用 了 两 个 阶段 为 IPSec 进行 密 钥 协 商 并 建立 SA。 

第 一 阶段 ， 通 信 各 方 彼此 间 建 立 了 一 个 已 通过 身份 认证 和 安全 保护 的 通道 ， 即 建立 一 
个 ISAKMP SA。 第 一 阶段 有 主 模式 (Main Mode) 和 野蛮 模式 (Agsgressive Mode) 两 种 IKE 交 
换 方法 。 

第 二 阶段 ， 用 在 第 一 阶段 建立 的 安全 隧道 为 IPSec 协商 安全 服务 ， 即 为 IPSec 协商 具 
体 的 SA， 建立 用 于 最 终 的 卫 数据 安全 传输 的 IPSec SA。 

以 图 5-48 所 示 的 两 个 网 络 访问 为 例 ， 典 型 的 IPSec VPN 建立 过 程 如 下 。 


it Router A Router B tone 


十 全 一 一 < 一 一 


图 5-48 IPSec VPN 的 初始 建立 


(1) 需要 访问 远 端 的 数据 流 经 路 由 器 ， 触 发 路 由 器 启动 相关 的 协商 过 程 。 

(2) 启动 KE 阶段 1， 对 通信 双方 进行 身份 认证 ,并 在 两 端 之 间 建 立 一 条 安全 的 通道 。 
阶段 1 协商 建立 IKE 安全 通道 所 使 用 的 参数 ， 包 括 加 密 算法 、Hash 算法 、DH 算法 、 身 份 
认证 方法 、 存 活 时 间 等 ， 如 图 5-49 所 示 。 
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TT 
fe Router A Router B | 日 
IKE 阶段 1 10.0.2.3 
协商 建立 IKE 安 全 - 协商 建立 IKE 安 全 
通道 所 使 用 的 参数 一 一 一 一 一 一 ”通道 所 使 用 的 参数 
交换 预 共享 密 钥 交换 预 共享 密 钥 
双方 身份 认证 双方 身份 认证 
建立 IKE 安 全 通道 建立 IKE 安 全 通道 


5-49 IKE 阶段 1 


(3) 启动 下 E 阶段 2， 在 上 述 安全 通道 上 协商 IPSec 参数 。 双 方 协商 IPSec 安全 参数 ， 
称 为 变换 集 transform set， 包 括 加 密 算法 、Hash 算法 、 安 全 协议 、 封 装 模 式 、 存 活 时 间 、 


DH 算法 等 ， 如 图 5-50 所 示 。 


Host B 





IKE 阶段 2 10.0.2.3 





协商 IPSec 安全 参数 协商 IPSec 安全 参数 





建立 IPSec SA 建立 IPSec SA 


5-50 |IKE 阶段 2 
(4) 按 协商 好 的 IPSec 参数 对 数据 流 进 行 加 密 、hash 等 保护 。 


5.4.5 SSL VPN 任务 实施 


1. 实施 规划 


1)” 实 训 拓 扑 结 构 
根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 5-51 所 示 ，Server 模拟 公司 


内 部 网 络 Web 服务 器 ，PC1 为 配置 管理 计算 机 ，PC2 模拟 外 部 用 户 计算 机 ，PC3 模拟 公司 
内 部 用 户 计算 机 。VPN 设备 作为 公司 出 口 提供 用 户 VPN 访问 。 


2) “ 实 训 设备 
根据 任务 的 需求 和 实 训 拓扑 ， 每 实 训 小 组 的 实 训 设备 配置 清单 ， 如 表 5-12 所 示 。 
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PC2 1P:202.1.1.2/24 
DMZ IP:10.254.253.254 


2 WANI IP:202.1.1.1 
vc A /24 
< | LAN IP:192.168.1.1/24 


PC3 = 
IP:10.254.253.1/24 &E» Sw 
Fa0/1 





FP 
SS 


PC1 Server 
IP:192.168.1.3/24 IP:192.168.1.2/24 


5-51 ” 实 训 的 拓扑 结构 及 网 络 参数 
表 5-12 实 训 设备 配置 清单 


H3C E126A 
深信 服 VPN 2050 


PC, Windows XP 
Windows Server 2003 





3) ”IP 地 址 规划 
根据 任务 的 需求 分 析 和 实 训 拓扑 结构 ， 本 实 训 任务 中 公司 内 部 的 IP 地 址 网 段 规划 为 
192.168.1.0/24, 外 部 PP 网 段 规划 为 202.1.1.0/24, 各 实 训 设备 的 他 地 址 规划 如 表 5-13 所 示 。 


表 5-13 实 训 设备 的 IP 地址 规划 























高 
职 
高 
专 
关 接口 网 关 地 址 
从 VPN WANI1 202.1.1.1/24 
村 VPNLAN 192.168.1.1/24 

Server 192.168.1.2/24 192.168.1.1 
妆 PpC1 192.168.1.3/24 192.168.1.1 
机 PC2 202.1.1.2/24 
系 PC3 10.254.253.1 
列 
| 2. 实施 步骤 

IJ) 设备 连接 


根据 实 训 拓扑 图 进行 交换 机 、VPN、 计 算 机 的 线 缆 连 接 , 配置 PC1、PC2、PC3 和 Server 


8® 





的 耳 地 址 。Server 安装 IS， 配 置 Web 服务 ， 能 从 局 域 网 正常 访问 到 Server 的 Web 服务 。 


2) SSL VPN 的 管理 配置 


深信 服 SSL VPN 2050 及 相关 系列 可 采用 Web 方式 进行 配置 管理 ， 初 次 配置 时 可 以 采 


用 DMZ、LAN 默认 的 地 址 。 


[也 提示 : 深信 服 VPN 的 LAN 接口 的 初始 卫 地 址 为 10.254.254.254/24， 管 理 主机 的 人 P 
应 设置 为 10.254.254.254/24 同一 网 段 ; DMZ 口 接口 的 初始 瑟 地 址 为 
10.254.253.254/24， 管 理 主机 的 卫 应 设置 为 10.254.253.254/24 同一 网 段 。 


配置 管理 主机 :使 用 PC3 作为 管理 VPN 的 管理 主机 ,使 用 双 绞 线 将 其 连接 到 VPN DMZ 
口 。 在 管理 主机 运行 ping10.254.253.254 验证 是 否 真正 连通 ， 如 不 能 连通 ， 请 检查 管理 主机 
的 下 是 否 与 DMZ 口 (10.254.253.254/24) 在 同一 网 段 ， 是 否 连接 在 VPN 的 DMZ 接口 上 。 

在 PC3 上 运行 正 浏览 器 ， 在 地 址 栏 中 输入 http://10.254.253.254:1000， 弹 出 用 户 登 录 


界面 ， 如 图 5-52 所 示 。 


颈 5 莫 Internet 秦 入 安全 塘 大 





sangfor-SSL M50 - Windcws Internet Explorer 


二 hz11a0.25425325410C0/cei-bmiogincsires "| S| | x ers 


















| 译作 已 于 XR” 如 FERREv 图 百 刘 
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5-52 ”登录 界面 


输入 管理 员 账 号 和 口令 ， 即 可 进入 SSL VPN 管理 界面 。 在 默认 状态 下 ， 管 理 员 账号 是 
Admin， 密 码 是 Admin， 如 图 5-53 所 示 。SSL VPN 管理 界面 左 侧 为 树 形 结构 的 菜单 ， 右 侧 


为 配置 管理 界面 ， 点 击 各 菜单 项 熟悉 各 项 菜单 内 容 。 
3) SSL VPN 的 部 署 模式 及 接口 PP 配置 


深信 服 SSL VPN 分 为 网 关 ( 单 线路 和 多 线路 ) 模 式 和 单 臂 模式 两 种 工作 模式 。 进 入 SSL 
VPN 的 配置 页 面 : 依次 选择 “系统 设置 ”一 “网 络 配置 ”一 “部 署 模式 ”选项 ， 选 中 “网 
关 模 式 ” 单 选 按钮 ， 进 行 部 署 ， 内 网 接口 LAN 配置 相应 的 内 网 卫 与 子 网 掩 码 地 址 ， 如 图 


5-54 所 示 。 


根据 实 训 任务 的 卫 规划 参数 ， 配 置 外 网 接口 PP 地 址 单 击 “ 线 路 1”， 进 行 相应 的 地 址 





配置 ， 如 图 5-55 所 示 。 
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5-55 ”外 部 接口 IP 地 址 配置 


[也 提示 : 增加 接口 全 后 ， 单 击 管理 界面 首页 左下 部 的 “保存 ”按钮 进行 配置 的 保存 。 注 


意 观 察 页 面 右上 角 有 一 个 “立即 生效 ”按钮 ， 单 击 生效 配置 。 


4) ”资源 的 定义 
资源 是 指 各 种 规则 要 使 用 的 对 象 的 集合 ， 在 进行 相关 配置 时 进行 调用 。 深 信服 SSL 











ITT EXD EF 


VPN 将 资源 分 为 Web 资源 、APP 资源 和 他 资源 三 类 , 为 了 满足 SSL VPN 接 入 用 户 访 问 不 
同 的 内 网 资源 ， 需 要 对 内 网 资源 进行 建立 ， 提 供给 SSL VPN 用 户 进行 访问 。 依 次 选择 “SL 
VPN 设置 ”一 “资源 管理 ”一 “新 建 ”选项 ， 选 择 相应 资源 发 布 ， 如 图 5-56 所 示 。 

































< 














图 5-56 ”资源 建立 主 界面 
根据 实 训 任 务 要 求 SERVER 提供 Web 服务 ,所 以 针对 SERVER 的 应 用 发 布 Web 应 用 ， 
如 图 5-57 所 示 ， 主 要 设置 “名 称 ”( 用 户 自 定义 )、“ 类 型 ”( 选 择 HTTP)、“ 地 址 ”( 内 网 
服务 器 的 主机 也 )、“ 启 用 该 资源 ”、“ 人 允许 用 户 可 见 ” 等 。 
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图 5-57 发布 Web 资源 
在 本 次 实 训 中 为 了 保证 PC2 能 够 Ping 通 PC1， 所 以 PC2 需要 获取 一 个 虚拟 IP 地 址 才 
能 进行 PINGPC1， 针 对 以 上 要 求 需要 发 布 一 个 L3VPN 资源 (在 旧版 本 里 为 IP 资源 )， 主 要 
设置 “名 称 ”( 用 户 自 定 义 )、“ 类 型 ”( 此 处 选择 Other)、“ 协 议 ”(ICMP)、“ 地 址 ”( 需 要 
PING 通 的 内 网 主机 IP)、“ 启 用 该 资源 ”、“ 人 允许 用 户 可 见 ” 等 ， 如 图 5-58 所 示 。 
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5-58 L3VPN 资源 发 布 


5) SSL VPN 防火 墙 规则 的 配置 
SSL VPN 的 所 有 访问 控制 均 根 据 防火 墙 安全 规则 的 设置 完成 。 安 全 规则 主要 包括 包 过 
滤 规 则 、NAT 规则 (网 络 地 址 转换 )、 卫 映射 规则 、 端 口 映射 规则 等 。 


[名 提示 : 防火 墙 的 基本 策略 是 没有 明确 被 允许 的 行为 都 是 被 禁止 的 。 


根据 管理 员 定 义 的 安全 规则 完成 数据 帧 的 访问 控制 ， 规 则 策略 包括 “人 允许 通过 ”“ 禁 
止 通过 ”“ 端 口 映射 方式 通过 ”“ 代 理 方式 通过 ”。 支 持 对 源 了 P 地 址 、 目 的 P 地 址 、 源 
端口 、 目 的 端口 、 服 务 、 流 入 网 口 、 流 出 网 口 等 进行 控制 。 防 火 墙 还 可 以 根据 管理 员 定义 
的 基于 角色 控制 的 用 户 策略 ， 并 与 安全 规则 策略 配合 完成 访问 控制 ， 包 括 限 制 用 户 在 什么 
时 间 、 什 么 源 下 地址 可 以 通过 防火 墙 访问 相应 的 服务 。 


[也 提示 : 防火墙 按 从 上 到 下 的 顺序 进行 规则 匹配 ， 按 上 一 条 已 匹配 的 规则 执行 ， 不 再 匹 
配 该 条 规则 以 下 的 规则 。 


防火 墙 规则 的 配置 ， 依 次 选择 “防火 墙 设置 ”一 “过 滤 规 则 设置 ”选项 ， 然 后 单 击 相 
应 方向 的 “新 增 ” 按 钮 ， 如 图 5-59 所 示 。 
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5-59 ”安全 规则 的 配置 


根据 任务 需求 和 实 训 拓扑 ， 需 要 配置 防火 墙 规则 ， 使 内 部 网 络 通过 NAT 转换 访问 外 部 
网 络 。 在 防火 墙 设置 规则 界面 添加 NAT 规则 ， 依 次 选择 “防火 墙 设置 ”一 “NAT 设置 











TT EEENTOT TES 
选项 , 设置 “名 称 ” 为 nat， “内 网 接口 ”为 LAN， 定义 内 网 网 段 ， 启 用 该 策略 ， 如 图 5-60 
所 示 。 
[时 提示 : SSL VPN 默认 使 用 WAN 口 地 址 进行 转换 ， 目 的 地 址 服务 为 ANY。 


TE EE 
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5-60 NAT 规则 配置 


配置 防火 墙 规则 ， 对 来 自分 公司 的 IP 允许 Web 访问 为 例 进行 配置 : 依次 选择 “防火 
墙 设置 ”一 “过 滤 规 则 ”一 “VPN<->LAN” 等 选项 ， 点 击 “ 新 增 ” 按 钮 访问 服务 器 。 相 
关内 容 设置 如 图 5-61 所 示 。 其 余 依次 选择 “WAN<->LAN”“VPN<->LAN”VPN<->WAN” 
等 选项 ， 根 据 情况 分 别 进行 双向 放 通 ， 如 图 5-62 一 图 5-64 所 示 。 





回忆 用 类 则 口 忆 用 日 志 








5-61 包 过 滤 规 则 的 具体 配置 











5-64 VPN<->WAN 方向 规则 


6) ”路 由 配置 
为 了 保证 内 网 用 户 通 过 NAT 后 能 访问 互联 网 , 需要 配置 一 条 静态 默认 路 由 , 下 一 跳 指 
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向 互联 网 网 关 。 有 具体 步骤 为 : 依次 选择 “系统 设置 ”一 “网 络 配置 ”一 “路 由 设置 ”选项 ， 











5-65 ”静态 默认 路 由 配置 


7) “用 户 与 用 户 组 配置 

深信 服 SSL VPN 用 户 与 用 户 组 的 建立 ， 是 对 每 一 个 需要 通过 SSL VPN 方式 对 内 部 资 
源 访问 的 用 户 建立 一 个 相应 的 用 户 名 与 密码 ， 为 方便 管理 员 对 用 户 的 管理 可 以 采用 分 组 方 
式 。 用 户 和 用 户 组 的 建立 配置 步骤 为 : 依次 选择 “SSL VPN 设置 ”一 “用 户 管理 ”一 “新 
建 ”一 “用 户 组 ”或 “用 户 ” 选 项 ， 如 图 5-66 所 示 。 
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5-66 ”用 户 或 用 户 组 建立 
根据 本 次 实 训 要 求 建立 实验 组 1， 如 图 5-67 所 示 。 
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图 5-67 用 户 组 建立 
用 户 组 已 经 建立 完毕 , 在 用 户 组 中 建立 TEST 用 户 , 如 图 5-68 所 示 ， 选中 用 户 所 属 组 。 
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图 5-68 


用 户 的 建立 
8) 角色 的 定义 


在 SSL VPN 中 角色 是 用 户 和 资源 之 间 的 纽带 , 合理 的 定义 角色 有 利于 合理 用 户 与 合理 
资源 的 结合 ， 提 高 用 户 与 资源 的 合理 性 。 角 色 建 立 步骤 为 : 依次 选择 “SSL VPN 设置 ”一 
“角色 授权 ”一 “新 建 ”选项 ， 建 立 相 应 的 角色 ， 如 图 5-69 所 示 。 
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图 5-69 建立 角色 主 界面 
建立 角色 后 进入 相应 的 角色 ， 关 联 用 户 对 用 户 进行 资源 授权 ， 如 图 5-70 所 示 。 
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图 5-70 角色、 资源 、 用 户 关联 
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配置 的 生效 。 


5.4.6 SSL VPN 任务 验收 


[名 提示 : 在 SSL VPN 设置 的 过 程 中 要 注意 单 击 “完成 ”“ 确 定 ”“ 立 即 生效 ”等 按钮 保证 


1. 设备 验收 

根据 实 训 拓扑 图 检查 验收 交换 机 、 计 算 机 的 线 缆 连 接 , 检查 VPN、Server、 PC1、PC2、 
PC3 的 全 地 址 。 

2. 配置 验收 

1) 接口 全 配置 


在 VPN 管理 界面 的 网 络 接口 配置 菜单 的 接口 IP 项 , 检查 各 网 络 接 口 的 也 参数 是 否 符 


合 实 训 参数 规划 


o 


2) ”NAT 配置 


深信 服 VPN 了 





[ 作 模 式 分 为 网 关 模式 和 单 臂 工 作 模式 ， 网 关 模 式 时 VPN 设备 工作 层次 


基本 与 路 由 器 或 包 过 滤 防 火 墙 相当 ， 有 具备 基本 的 路 由 转发 及 NAT 功能 。 根 据 实 训 的 拓扑 ， 
VPN 为 网 关 工 作 模式 ， 检 查 NAT 配置 。 
3) ”资源 管理 配置 


在 VPN 管 





理 界 面 的 资源 管理 项 ， 检 查 资 源 的 定义 是 否 符合 实 训 参数 规划 。 深 信服 


SSLVPN 将 资源 分 为 Web 资源 、APP 资源 和 卫 资源 三 类 ， 登 录 控制 台 查 看 已 发 布 的 内 网 
资源 和 类 型 是 否 正确 ， 如 图 5-71 所 示 。 
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4) ”用 户 账 


图 5-71 资源 管理 
号 配置 














深信 服 VPN 在 实际 部 署 时 可 以 建立 完备 的 组 织 结构 ， 对 不 同 的 组 添加 相应 的 用 户 ， 构 


成 整个 用 户 管理 
查 设 定 的 用 户 账 
5) ”资源 权 
在 角色 菜单 





号 情况 ， 如 图 5-72 所 示 。 
限 配置 




















项 ， 对 于 用 户 / 





户 组 、 资 源 /资源 组 可 以 任意 组 合 ， 赋 予 相 应 的 用 户 / 用 户 组 应 / 














限 。 在 角色 授权 


菜单 项 下 检查 资源 的 权限 配置 。 





的 树 形 结构 ， 方 便 对 结构 中 不 同 级 别 不 同 职位 的 用 户 关 联 不 同 的 资源 。 检 


中 ， 对 每 个 角色 的 设置 分 为 用 户 、 用 户 组 、 资 源 、 资 源 组 、 准 入 、 授 权 六 
的 访问 权 
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图 5-72 用 户 账号 管理 
3. 功能 验收 


(1) 在 PC1 上 检查 与 PC2 的 连通 性 ，PC1 通过 VPN 的 NAT 功能 与 PC2 连通 。 

(2) 在 PC2 上 的 浏览 器 中 输入 SSL VPN 登录 网 址 : https:/202.1.1.1， 当 页 面 进行 跳 转 
之 后 ， 地 址 栏 显示 颜色 变色 ， 并 在 右 端 显示 一 把 锁 头 的 标志 ， 表 示 该 网 页 是 通过 SSL 进行 
加 密 处 理 的 网 页 。 

在 登录 界面 中 输入 设 定 的 用 户 名 和 密码 ， 通 过 相应 的 认证 后 加 载 必 要 的 插件 可 以 进入 
资源 页 面 ， 资 源 页 面 上 列 出 该 用 户 可 以 访问 的 资源 列表 ， 如 图 $-73 一 图 5-75 所 示 。 
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5-73 ”输入 用 户 名 密码 
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5-74 加载 必要 插件 
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图 5-75 成 功 登 录 


在 PC2 上 验证 访问 内 部 资源 ， 点 击 资源 页 面 的 Server， 能 正常 访问 到 Server 的 Web 
服务 ， 同 时 PING PC1 能 够 连通 ， 如 图 5-76 所 示 。 





图 5-76 ”验证 与 内 部 计算 机 的 连通 
在 SSL VPN 控制 台 的 运行 状态 菜单 项 里 查看 SSL VPN 的 系统 状态 、 在 线 用 户 、 告 警 














日 志 等 ， 如 图 5-77 所 示 。 
高 
职 
高 
专 
立 
体 
: 
材 一 
计 了 
算 图 5-77 VPN 运行 状态 
列 ”5.4.7 SSL VPN 任务 总 结 


针对 公司 移动 用 户 访问 企业 网 资源 的 任务 内 容 和 目标 ， 通 过 需求 分 析 进 行 了 实 训 的 规 
划 和 实施 ， 进 行 了 SSL VPN 的 配置 及 验证 。 
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第 6 章 网 络 管理 理论 基础 








教学 目标 
通过 本 章 学 习 ， 学 生 应 该 了 解 计算 机 网 络 管理 基本 概念 、 网 络 管理 涉及 的 范围 、 网 络 
管理 功能 、 常 见 网 络 管理 协议 (SNMP、Netconf 等 ) 网 络 管理 基础 理论 知识 ， 为 后 续 章 节 的 
学 习 打 下 坚实 基础 。 
教学 要 求 
任务 要 点 能 力 要 求 关联 知识 
(CD 掌握 网 络 管理 基本 概念 dpe 
计算 机 网 络 管理 基本 概念 | (2) 掌 握 网 络 管理 涉及 的 范围 a -A 
3) 掌握 网 络 管理 常见 功能 OE 
(和) 网 络 管理 员 定义 
(CD 掌握 SNMP 基本 概念 ee 
简单 网 络 管理 协议 SNMP | C2) 掌 握 SNMP 系统 构成 人 计 疯 让 胡 
(3) 掌 握 SNMP 实现 原理 (4)SNMP 报 文 格式 
网 (]) 掌 握 Netconf 基本 概念 (1)Netconf 基本 概念 
色 y 
网 络 配置 协议 Netconf (2) 了 解 Netconf 系统 构成 (2)Netconf 系统 构成 
重点 难点 
@ 网络 管理 基本 概念 。 
@ 网络 管理 涉及 的 范围 。 
@ 网 络 管理 的 功能 
e。 简单 网 络 管理 协议 SNMP。 
@ 网 络 配置 协议 Netconf。 
@ ”网 络 故障 排除 基本 流程 和 方法 。 


6.1 计算 机 网 络 管理 概述 


当前 企业 计算 机 网 络 发 展 的 规模 不 断 扩大 ， 复 杂 性 不 断 增加 ， 一 个 企业 网 络 ， 往 往 包 
含 着 若干 子 系统 ， 集 成 了 多 种 网 络 操作 系统 及 网 络 软件 ， 包 含 不 同 公司 生产 的 网 络 设备 和 
通信 设备 。 网 络 管理 作为 一 项 重要 技术 ， 是 保障 网 络 安全 、 可 靠 、 高 效 和 稳定 运行 的 必要 
手段 。 
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6.1.1 计算 机 网 络 管理 的 基本 概念 


一 般 来 讲 ， 网 络 管理 是 指 监 督 、 组 织 和 控制 网 络 通信 服务 以 及 信息 处 理 所 必 需 的 各 种 
活动 的 总 称 。 由 于 网 络 系统 的 复杂 性 、 开 放 性 ， 要 保证 网 络 能 够 持续 、 稳 定 、 安 全 、 可 靠 、 
高 效 地 运行 ， 使 网 络 能 够 充分 发 挥 其 作用 ， 就 必须 实施 一 系列 管理 措施 。 

因此 ， 网 络 管理 的 任务 就 是 收集 、 监 控 网 络 中 各 种 资源 的 使 用 和 各 种 网 络 活动 ， 如 设 
备 和 设施 的 工作 参数 、 工 作 状 态 信息 ， 并 及 时 通知 管理 员 进 行 处 理 ， 从 而 使 网 络 的 性 能 达 
到 最 优 ， 以 实现 对 网 络 的 管理 。 

有 具体 来 说 ， 网 络 管理 包含 两 大 任务 : 一 是 对 网 络 运行 状态 的 监测 ;二 是 对 网 络 运行 状 
态 进行 控制 。 通 过 对 网 络 运行 状态 的 监测 可 以 了 解 网 络 当前 的 运行 状态 是 否 正常 ， 是 否 存 
在 瓶颈 和 潜在 的 危机 ;通过 对 网 络 运行 状态 的 控制 可 以 对 网 络 状态 进行 合理 的 调节 ， 提 高 
性 能 ， 保 证 服务 质量 。 

1. 网 络 管理 的 范围 

管理 网 络 是 网 络 高 效 运行 的 前 提 和 保障 ， 管 理 的 对 象 不 仅 是 网 络 链 路 的 畅通 、 服 务 器 
的 正常 运行 等 硬 因 素 ， 更 包括 网 络 应 用 、 数 据 流转 等 软 因素 。 

1) ”设计 规划 网 络 

根据 企业 财力 情况 、 应 用 需求 和 建筑 布局 情况 ， 规 划 设 计 合 理 的 网 络 建设 方案 ， 包 括 
网 络 布线 方案 、 设 备 购置 方案 和 网 络 应 用 方案 。 协 助 有 关 部 门 拟定 招标 书 ， 并 对 网 络 施工 
情况 进行 实时 监督 。 当 企业 对 网 络 的 需求 进一步 增 大 时 ， 还 应 当 及 时 制定 网 络 扩容 和 升级 
方案 。 

2) 配置 和 维护 网 络 设备 

在 网 络 建设 初期 ， 应 当 根 据 性 能 最 优化 和 安全 最 大 化 的 原则 ， 配 置 网 络 设备 实现 计算 
机 互 连 。 定 期 备份 配置 文件 ， 随 时 监控 网 络 设备 的 运行 情况 ， 保 证 网 络 安全 稳定 运行 ， 并 
根据 网 络 需求 和 拓扑 结构 的 变化 ， 及 时 调整 网 络 设备 的 配置 。 

3) “搭建 网 络 服务 器 

网 络 服务 器 的 搭建 是 实现 网 络 服务 的 基础 。 显 然 ， 每 种 网 络 服务 都 需要 相应 网 络 服务 
器 的 支持 。 因 此 ， 根 据 企 业 需 要 搭建 并 实现 各 种 类 型 的 网 络 服务 ， 就 成 为 网 络 管理 的 首要 
任务 。Windows Server 2000、Windows Server 2003、Windows Server 2008 都 提供 了 丰富 的 
网 络 服务 ， 可 以 实现 所 有 基本 的 IntemetIntranet 服务 ， 并 且 搭 建 、 配 置 和 管理 都 非常 简单 。 

4) ”保障 系统 正常 运行 

只 有 网 络 系统 正常 运行 ， 才 能 提供 正常 的 网 络 服务 ， 无 论 是 链 路 中 断 、 设 备 故 障 ， 还 
是 系统 瘫痪 ， 都 将 直接 影响 网 络 服务 的 提供 。 因 此 ， 网 络 管理 员 还 担负 着 维护 企业 网 络 正 
常 运行 的 职责 。 网 络 管理 员 必 须 定 期 检查 网 络 链 路 、 网 络 设备 和 服务 器 的 运行 状况 ， 认 真 
查看 和 记录 系统 日 志 ， 及 时 更 新 安全 补丁 和 病毒 库 ， 及 时 发 现 潜在 的 故障 隐患 ， 防 患 于 

5) ”制作 和 维护 企业 网 站 

网 站 是 企业 在 Intemet 上 的 名 片 。Intemet 促成 了 网 站 经 济 的 形成 ， 特 别 是 电子 商务 网 









































| 第 6 章 矶 么 和 色 理 理论 基 磺 





站 ， 是 未 来 企业 开展 电子 商务 的 基础 设施 和 信息 平台 ， 可 用 于 展示 企业 的 产品 与 服务 ， 宣 
扬 企 业 文 化 ， 接 受用 户 咨询 和 反馈 信息 ， 向 用 户 提供 技术 支持 和 帮助 ， 等 等 。 因 此 ， 制 作 
和 维护 网 站 也 就 成 为 网 络 管理 的 一 项 重要 内 容 。 

6) ”保护 网 络 安全 

Intemet 已 经 成 为 企业 获取 和 发 布 信息 的 重要 工具 。 企业 服务 器 中 往往 保存 着 非常 重要 
或 非常 敏感 的 数据 ， 如 发 展 计划 、 人 事 档案 、 行 政文 件 、 会 计 报表 、 客 户 资料 、 销 售 策略 、 
合同 书 、 投 标书 等 ， 采 取 各 种 必要 的 措施 (如 网 络 防火 墙 、 安 全 策略 ) 来 保护 网 络 安全 ， 就 
成 为 网 络 管理 的 一 项 重要 任务 。 

7) ”保证 数据 安全 

由 于 绝 大 多 数 重 要 数据 都 被 集中 存储 在 网 络 服务 器 上 ， 必 须 采 取 切 实 有 效 的 手段 保证 
数据 的 存储 安全 和 访问 安全 。 保 证 数据 存储 安全 通常 采用 磁盘 元 余 的 方式 ， 确 保 不 会 由 于 
硬盘 损坏 导致 数据 丢失 。 同 时 ， 还 要 对 重要 数据 进行 定期 备份 ， 以 备 不 测 。 保 证 数据 访问 
安全 的 方式 通常 采用 控制 访问 权限 的 方式 ， 拒 绝 非 授权 用 户 的 访问 。 


2. 网 络 管理 系统 的 构成 


在 一 个 网 络 的 运营 管理 中 , 网 络 管理 人 员 是 通过 网 络 管理 系统 对 整个 网 络 进行 管理 的 。 
一 个 网 络 管理 系统 一 般 由 管理 进程 、 管 理 代 理 、 管 理 信息 库 (MIB) 和 管理 协议 四 部 分 构成 。 
网 络 管理 系统 的 逻辑 模型 如 图 6-1 所 示 。 




















6-1 网 络 管理 系统 的 逻辑 模型 


管理 进程 是 一 个 或 一 组 软件 程序 ， 一 般 运行 在 网 络 管理 站 (网 络 管理 中 心 ) 的 主机 上 ， 
它 负责 发 出 管理 操作 的 指令 ， 管理 代理 是 一 个 软件 模块 ， 它 驻 留 在 被 管 设备 上 ， 它 的 功能 
是 把 来 自 网 络 管理 者 的 命令 或 信息 的 请 求 转换 成 本 设备 特有 的 指令 ， 完 成 管理 程序 下 达 的 
管理 任务 ， 如 系统 配置 和 数据 查询 等 ; 管理 信息 数据 库 (MIB) 是 一 个 信息 存储 库 ， 定 义 了 一 
种 对 象 数据 库 ， 由 系统 内 的 许多 被 管 对 象 及 其 属性 组 成 ， 管 理 程序 可 以 通过 直接 控制 这 些 
数据 对 象 去 控制 或 配置 网 络 设 备 ， 管 理 协议 规定 了 管理 进程 与 管理 代理 会 话 时 所 必须 遵循 
的 规则 ， 网 络 管理 进程 通过 网 络 管理 协议 来 完成 网 络 管理 ， 目 前 最 有 影响 的 网 络 管理 协议 
是 简单 网 络 管理 协议 (SNMP) 和 公共 管理 信息 协议 (CMIP)。 


6.1.2 计算 机 网 络 管理 的 功能 


国际 标准 化 组 织 定义 的 网 络 管理 有 五 种 功能 : 配置 管理 、 性 能 管理 、 故 障 管理 、 安 全 
管理 和 计 费 管理 。 
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1. 配置 管理 


配置 管理 是 最 基本 的 网 络 管理 功能 ， 它 负责 监测 和 控制 网 络 的 配置 状态 。 具 体 来 讲 ， 
就 是 在 网 络 的 建立 、 扩 充 、 改 造 以 及 开展 工作 的 过 程 中 ， 对 网 络 的 拓扑 结构 、 资 源 配备 、 
使 用 状态 等 配置 信息 进行 定义 、 监 测 和 修改 。 配 置 管理 主要 有 资源 清单 管理 、 资 源 提供 、 
业务 提供 及 网 络 拓扑 结构 服务 等 功能 。 


2. 性 能 管理 


性 能 管理 保证 有 效 运营 网 络 和 提供 约定 的 服务 质量 , 在 保证 各 种 业务 服务 质量 的 同时 ， 
尽量 提高 网 络 资源 利用 率 。 性 能 管理 包括 性 能 检测 功能 、 性 能 分 析 和 性 能 管理 控制 功能 。 
从 性 能 管理 中 获得 的 性 能 检测 和 分 析 结果 是 网 络 规划 和 资源 提供 的 重要 根据 ， 因 为 这 些 结 
果 能 够 反映 当前 (或 即将 发 生 ) 的 资源 不 足 。 

3. 故障 管理 


故障 管理 的 作用 是 迅速 发 现 、 定 位 和 排除 网 络 故障 ， 动 态 维护 网 络 的 有 效 性 。 故 障 管 
理 的 主要 功能 有 告警 监测 、 故 障 定位 、 测 试 、 业 务 恢 复 以 及 修复 等 ， 同 时 还 要 维护 故障 目 
标 。 在 网 络 的 监测 和 测试 中 ， 故 障 管理 会 参考 配置 管理 的 资源 清单 来 识别 网 络 元 素 。 当 维 
护 状态 发 生变 化 ， 或 者 故障 设备 被 蔡 换 ， 以 及 通过 网 络 重组 迁 回 故 障 时 ， 要 对 配置 MIB( 管 
理 信息 库 ) 中 的 有 关 数 据 进行 修改 。 

4. 安全 管理 

安全 管理 的 作用 是 提供 信息 的 保密 、 认 证 和 完整 性 保护 机 制 ， 使 网 络 中 的 服务 数据 和 
系统 免 受 侵扰 和 破坏 。 安 全 管理 主要 包括 风险 分 析 、 安 全 服务 、 告 警 、 日 志和 报告 功能 以 
及 网 络 管理 系统 保护 功能 。 安 全 管理 与 管理 功能 有 着 密切 的 关系 。 安 全 管理 要 调用 配置 管 
理 中 的 系统 服务 ， 对 网 络 中 的 安全 设施 进行 控制 和 维护 。 发 现 网 络 安全 方面 的 故障 时 ， 要 
向 网 络 管理 员 通 报 安全 故障 事件 以 便 进 行 故障 诊断 和 恢复 。 权 限 管理 是 安全 管理 的 重要 组 
成 部 分 。 在 企业 网 络 中 ， 对 各 种 权限 (VLAN 访问 权限 、 文 件 服务 器 访问 权限 、Internet 访 
问 权限 等 ) 的 划分 非常 重要 。 

5. 计 费 管理 

计 费 管理 的 作用 是 正确 计算 和 收取 用 户 使 用 网 络 服务 的 费用 ， 进 行 网 络 资源 利用 率 的 
统计 和 网 络 成 本 效益 的 核算 。 计 费 管理 的 目标 是 衡量 网 络 的 利用 率 ， 以 便 一 个 或 一 组 用 户 
可 以 按 规则 利用 网 络 资源 ， 这 样 的 规则 使 网 络 故障 降 到 最 小 (因为 网 络 资源 可 以 根据 其 能 力 
的 大 小 而 合理 地 分 配 )， 也 可 以 使 所 有 用 户 对 网 络 的 访问 更 加 公平 。 为 了 实现 合理 的 计 费 ， 
计 费 管理 必须 和 性 能 管理 相 结合 。 























6.1.3 ”计算 机 网 络 管理 员 


随 着 网 络 规模 的 不 断 扩大 和 复杂 性 的 日 益 提高 ， 网 络 的 构建 和 日 常 维护 变 得 重要 且 刺 
手 。 因 此 ， 要 求 网 络 管理 员 具 备 相 应 的 网 络 知识 结构 和 分 析 问 题 的 能 力 ， 才 能 够 在 出 现 问 
题 时 做 出 正确 的 判断 并 及 时 解决 。 一 般 而 言 ， 一 名 合格 的 网 络 管理 员 应 该 具备 以 下 能 力 。 
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(1) 网 络 管理 员 应 该 具备 一 定 的 设计 能 力 , 能 够 规划 设计 包含 路 由 的 局 域 网 和 广域网 ， 
为 中 小 型 企业 网 络 (500 节点 以 下 ) 提 供 完 全 的 解决 方案 。 

(2) 深入 了 解 TCP/IP 网 络 协议 ， 能 够 独立 完成 路 由 器 、 交 换 机 等 网 络 设备 的 安装 、 
连接 、 配 置 和 操作 ， 搭 建 多 层 交 换 的 企业 网 络 ， 实 现 网 络 互 连 和 Intemet 连接 。 

(3) 掌握 网 络 软件 工具 的 使 用 ， 迅 速 诊断 、 定 位 和 排除 网 络 故障 ， 正 确 使 用 、 保 养 和 
维护 硬件 设备 。 

(4) 网 络 管理 员 应 当 为 企业 设计 完整 的 网 络 安全 解决 方案 ， 以 降低 收益 损失 和 攻击 风 
险 。 根 据 企 业 对 其 网 络 安全 弱点 的 评估 ， 针 对 已 知 的 安全 威胁 ， 选 择 适当 的 安全 硬件 、 软 
件 、 策 略 以 及 配置 以 提供 保护 选择 。 

(5) 需要 熟悉 Windows Server 2003/2008 网 络 操作 系统 ， 有 具备 使 用 高 级 的 Windows 平 
台 和 Microsoft 服务 器 产品 ， 为 企业 提供 成 功 的 设计 、 实 施 和 管理 商业 解决 方案 的 能 力 。 

(6) 要 掌握 数据 库 的 基本 原理 , 能 够 围绕 Microsoft SQL Server 数据 库 系 统 开 展 实施 与 
管理 工作 ， 实 现 对 企业 数据 的 综合 应 用 。 

根据 企业 网 建设 的 经 验 ， 技 术 培训 是 企业 网 建设 能 和 否 成 功 的 关键 环节 。 因 此 ， 网 络 管 
理 员 还 往往 承担 着 繁重 的 技术 培训 任务 ， 必 须 能 够 胜任 教师 的 工作 ， 能 够 根据 企业 网 中 不 
同人 员 的 责任 和 地 位 ， 分 别 进行 内 容 以 及 深度 不 同 的 培训 。 























6.2 ”网络 管理 协议 


6.2.1 网 络 管理 协议 简介 


网 络 管理 系统 中 最 重要 的 部 分 就 是 网 络 管理 协议 ， 它 定义 了 网 络 管理 者 与 被 管理 者 之 
间 进 行 通信 统一 的 语法 和 规则 。 在 网 络 管理 协议 产生 以 前 ， 管 理 者 要 学 习 各 种 不 同 网 络 设 
备 获 取 数 据 的 方法 ， 因 为 即使 是 相同 功能 的 设备 ， 各 个 生产 厂家 使 用 的 收集 数据 的 方法 也 
可 能 不 一 样 。 这 种 状况 已 不 能 适应 网 络 互 连 的 发 展 需 要 。 

最 初 研究 网 络 管理 通信 标准 问题 的 是 国际 上 最 著名 的 国际 标准 化 组 织 ISO， 它 对 网 络 
管理 的 标准 化 工作 开始 于 1979 年 , 主要 针对 OSI 七 层 协议 的 传输 环境 而 设计 。ISO 的 成 果 
是 CMIS/CMIP( 公 共管 理 信息 服 务 /公共 管理 信息 协议 )。CMIS 支持 管理 进程 和 管理 代理 之 
间 的 通信 要 求 ，CMIP 则 是 提供 管理 信息 传输 服务 的 应 用 层 协议 ， 二 者 规定 了 OSI 系统 的 
网 络 管理 标准 。 

后 来 ，Intemet 工程 任务 组 (IETF) 为 了 管理 以 几何 级 数 增长 的 Intemet， 决 定 采用 基于 
OSI 的 CMIP 协议 作为 Internet 的 管理 协议 , 并 对 它 做 了 修改 , 修改 后 的 协议 被 称 作 CMOT。 
但 由 于 CMOT 迟 迟 未 能 出 台 ,IETF 决定 把 已 有 的 SGMP( 简 单 网 关 监 控 协 议 ) 进 一 步 修改 后 
作为 临时 的 解决 方案 。 这 个 在 SGMP 基础 上 开发 的 解决 方案 就 是 著名 的 SNMP(Simple 
Network Management Protocol， 简 单 网 络 管 理 协 议 )， 也 称 SNMP v1( 即 SNMP 协议 的 第 1 
个 版 本 )。 

随 着 网 络 规模 的 不 断 扩大 ， 网 络 复杂 度 的 不 断 增加 ， 异 构 性 网 络 的 普及 ， 传 统 的 简单 
网 络 管理 协议 SNMP 已 经 不 能 很 好 地 适应 当前 复杂 的 网 络 管理 的 需求 ， 特 别 是 不 能 满足 配 
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置 管理 的 需求 .为 了 应 对 此 问题 , IETF 在 此 背景 下 制定 了 下 一 代 配 置 管 理 协 议 一 一 Netcont。 
因此 ， 目 前 网 络 管理 协议 主要 有 SNMP 和 Netcont。 


6.2.2 SNMP 


SNMP 提供 了 一 种 监控 和 管理 计算 机 网 络 的 系统 方法 ， 是 较 早 提出 的 网 络 管理 协议 之 
一 。 由 于 它 简 单 明 了 ， 实 现 起 来 比较 容易 ， 一 经 推出 便 得 到 了 广泛 的 应 用 和 支持 ，SNMP 
已 成 为 网 络 管理 事实 上 的 标准 。 

1. 管理 信息 库 与 管理 信息 结构 (MIB/SMI) 

网 络 管理 中 的 资源 是 以 对 象 表示 的 ， 每 个 对 象 表示 被 管 资源 的 某 一 属性 ， 这 些 属 性 就 
形成 了 管理 信息 库 (MIB)。 管 理工 作 站 通过 查询 MIB 中 多 值 对 来 实现 监测 功能 ， 通 过 改变 
MIB 对 象 的 值 来 实现 控制 功能 。MIB 中 应 包括 系统 与 设备 的 状态 信息 ， 运 行 的 数据 统计 和 
配置 参数 等 。 

如 果 没 有 一 种 约束 机 制 ， 各 个 厂商 定义 的 MIB 都 各 不 相同 ， 在 网 络 中 实现 对 MIB 中 
对 象 的 协调 管理 就 会 变 得 非常 困难 。 而 管理 信息 结构 (SMD 正 是 这 样 一 种 机 制 ， 它 规定 了 被 
管 对象 的 格式 、MIB 库 中 包含 哪些 对 象 以 及 怎样 访问 这 些 对 象 等 。 

2. SNMP 报 文 格式 


SNMP 是 一 种 基于 用 户 数据 报 协议 (UDP) 的 应 用 层 协 议 ， 在 SNMP 管理 中 ， 管 理 者 和 
代理 之 间 信 息 的 交换 都 是 通过 SNMP 报 文 实现 的 。 管 理 者 和 代理 之 间 交 换 的 管理 信息 构成 
了 SNMP 报 文 ， 所 有 SNMP 操作 都 嵌入 在 一 个 SNMP 报 文 中 。SNMP 报 文 由 三 部 分 构成 ， 
如 图 6-2 所 示 。 
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图 6-2 SNMP 报 文 的 格式 


(1) 版 本 号 (Version): 指定 SNMP 协议 的 版 本 。 

(2) 公共 体 (Community): 用 于 身份 认证 的 一 个 字符 串 , 是 为 增强 系统 安全 性 而 引入 的 ， 
作用 相当 于 口令 。 代 理 进程 要 求 管理 进程 在 其 发 来 的 报 文中 填写 这 一 项 ， 以 验证 管理 进程 
是 否 合 法 。 

(3) 协议 数据 单元 (PDU): 存放 实际 传送 的 报 文 , SNMP 定义 了 以 下 五 种 报 文 , 分 别 对 
应 以 下 介绍 的 五 种 基本 操作 。 

( ”GetRequest 从 代理 进程 查询 一 个 或 多 个 变量 值 。 

@ ”GetNextRequest: 从 代理 进程 提取 MIB 中 下 一 个 变量 值 。 

图 SetRequest: 对 代理 进程 一 个 或 多 个 变量 进行 设置 。 








TT EE 
@@ ”GetResponse: 返回 响应 值 。 由 代理 进程 发 出 ， 是 前 面 三 种 操作 的 响应 操作 。 
图 rap: 由 代理 进程 主动 发 出 ， 通 知 管理 进程 被 管 对 象 发 生 的 事件 。 
3. SNMP 系统 构成 


SNMP 管理 模型 中 有 三 个 基本 组 成 部 分 : 管理 代理 (agent)、 管 理 进 程 (manager) 和 管理 
信息 库 (MIB)， 如 图 6-3 所 示 。 


管理 系统 被 管 系统 





管理 应 用 进程 


管理 应 用 进程 


SNMP 报 文 
SNMP 管 理 模块 





6-3 SNMP 管理 模型 


SNMP 通过 Get 操作 获得 被 管 对 象 的 状态 信息 及 回应 信息 ; 通过 Set 操作 来 控制 被 管 
对 象 ， 以 上 功能 均 通 过 轮 询 实现 ， 即 管理 进程 定时 向 被 管 对 象 的 代理 进程 发 送 查 询 状态 的 
信息 ， 以 维持 网 络 资源 的 实时 监控 。 


6.2.3 网 络 配置 协议 Netconf 


1. Netconf 简介 


Netconf， 即 网 络 配置 协议 ， 是 IETF 设计 的 全 新 一 代 网 络 管理 协议 。NETCONF 协议 
是 完全 基于 XML 之 上 的 ， 所 有 的 配置 数据 和 协议 消息 都 用 XML 表示 。XML 可 以 表达 复 
杂 的 、 具 有 内 在 逻辑 关系 的 、 模 型 化 的 管理 对 象 。 而 且 由 于 它 是 W3C 提出 的 国际 标准 ， 
而 受到 广大 软件 提供 商 的 支持 ， 易 于 进行 数据 交流 和 开发 。 

2. Netconf 层次 结构 


如 同 ISO/OSI 一 样 ，NETCONF 协议 也 采用 了 分 层 结构 ， 每 个 层 分 别 对 协议 的 某 一 个 
方面 进行 包装 ， 并 向 上 层 提供 相关 的 服务 。 分 层 结构 能 让 每 个 层次 只 关注 协议 的 一 个 方面 ， 
实现 起 来 更 加 简单 ， 同 时 合理 地 解 耦 各 个 层 之 间 的 依赖 ， 可 以 将 各 层 内 部 实现 机 制 的 变更 
对 其 他 层 的 影响 降 到 最 低 。NETCONE 协议 分 成 四 层 : 内 容 层 、 操 作 层 、RPC 层 、 通 信 协 
议 层 。 

1) ”内 容 层 

内 容 层 表示 的 是 被 管 对 象 的 集合 。 内 容 层 的 内 容 需 要 来 自 数据 模型 中 ， 而 原 有 的 MIB 
等 数据 模型 对 于 配置 管理 存在 着 如 不 允许 创建 和 删除 行 ,对 应 的 MIB 不 支持 复杂 的 表 结 构 
等 缺陷 ， 因 此 内 容 层 的 内 容 没有 定义 在 RFC4741 中 。 到 目前 为 止 , NETCONEF 内 容 层 是 唯 
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6-3 SNMP 管理 模型 


SNMP 通过 Get 操作 获得 被 管 对 象 的 状态 信息 及 回应 信息 ; 通过 Set 操作 来 控制 被 管 
对 象 ， 以 上 功能 均 通 过 轮 询 实现 ， 即 管理 进程 定时 向 被 管 对 象 的 代理 进程 发 送 查 询 状态 的 
信息 ， 以 维持 网 络 资源 的 实时 监控 。 


6.2.3 网 络 配置 协议 Netconf 


1. Netconf 简介 


Netconf， 即 网 络 配置 协议 ， 是 IETF 设计 的 全 新 一 代 网 络 管理 协议 。NETCONF 协议 
是 完全 基于 XML 之 上 的 ， 所 有 的 配置 数据 和 协议 消息 都 用 XML 表示 。XML 可 以 表达 复 
杂 的 、 具 有 内 在 逻辑 关系 的 、 模 型 化 的 管理 对 象 。 而 且 由 于 它 是 W3C 提出 的 国际 标准 ， 
而 受到 广大 软件 提供 商 的 支持 ， 易 于 进行 数据 交流 和 开发 。 

2. Netconf 层次 结构 


如 同 ISO/OSI 一 样 ，NETCONF 协议 也 采用 了 分 层 结构 ， 每 个 层 分 别 对 协议 的 某 一 个 
方面 进行 包装 ， 并 向 上 层 提供 相关 的 服务 。 分 层 结构 能 让 每 个 层次 只 关注 协议 的 一 个 方面 ， 
实现 起 来 更 加 简单 ， 同 时 合理 地 解 耦 各 个 层 之 间 的 依赖 ， 可 以 将 各 层 内 部 实现 机 制 的 变更 
对 其 他 层 的 影响 降 到 最 低 。NETCONE 协议 分 成 四 层 : 内 容 层 、 操 作 层 、RPC 层 、 通 信 协 
议 层 。 

1) ”内 容 层 

内 容 层 表示 的 是 被 管 对 象 的 集合 。 内 容 层 的 内 容 需 要 来 自 数据 模型 中 ， 而 原 有 的 MIB 
等 数据 模型 对 于 配置 管理 存在 着 如 不 允许 创建 和 删除 行 ,对 应 的 MIB 不 支持 复杂 的 表 结 构 
等 缺陷 ， 因 此 内 容 层 的 内 容 没有 定义 在 RFC4741 中 。 到 目前 为 止 , NETCONEF 内 容 层 是 唯 
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一 没有 被 标准 化 的 层 ， 没 有 标准 的 NETCONEF 数据 建 模 语言 和 数据 模型 ， 其 相关 理论 还 在 
进一步 讨论 中 。 

2) ”操作 层 

操作 层 定义 了 一 系列 在 RPC 中 应 用 的 基本 的 原 语 操 作 集 ， 这 些 操作 将 组 成 NETCONF 
的 基本 能 力 。 为 了 简单 的 目的 ，SNMP 只 定义 了 五 种 基本 操作 ， 涵 盖 了 取 值 、 设 值 和 告警 
三 个 方面 。NETCONF 全 面 地 定义 了 九 种 基础 操作 ， 功 能 主要 包括 三 个 方面 取 值 操作 、 配 
置 操 作 、 锁 操作 和 会 话 操作 ， 其 中 get、get-config 用 来 对 设备 进行 取 值 操作 ,而 edit-config、 
copy-config、delete-config 则 是 用 于 配置 设备 参数 , lock 和 unlock 则 是 在 对 设备 进行 操作 时 
为 防止 并 发 产生 混乱 的 锁 行 为 ,close-session 和 kill-session 则 是 相对 比较 上 层 的 操作 , 用 于 
结束 一 个 会 话 操 作 。 

3) RPC 层 

RPC 层 为 RPC 模块 的 编码 提供 了 一 个 简单 的 、 传 输 协议 无 关 的 机 制 . 通 过 使 用 <rpc> 和 
<Ipc-reply> 元 素 对 NETCONF 协议 的 客户 端 (网 络 管理 者 或 网 络 配置 应 用 程序 ) 和 服务 器 
端 (网 络 设备 ) 的 请 求 和 响应 数据 ( 即 操作 层 和 内 容 层 的 内 容 ) 进行 封装 ， 正 常情 况 下 <mpc- 
reply> 元 素 封装 客户 端 所 需 的 数据 或 配置 成 功 的 提示 信息 ， 当 客户 端 请 求 报 文 存在 错误 或 
服务 器 端 处 理 不 成 功 时 ， 服 务 器 端 在 <mpc-reply> 元 素 中 会 封装 一 个 包含 详细 错误 信息 的 
<rpc-error> 元 素来 反馈 给 客户 端 。 

一 旦 NETCONF 会 话 开 始 ， 控 制 器 和 设备 就 会 交换 一 组 “特性 ”。 这 组 “特性 ”包括 
一 些 信息 ， 如 NETCONE 协议 版 本 支持 列表 、 备 选 数据 是 否 存在 、 运 行 中 的 数据 存储 可 修 
改 的 方式 。 除 此 之 外 ，“ 特 性 ”在 NETCONF RFC 中 定义 ， 开 发 人 员 可 以 通过 遵循 RFC 
中 描述 的 规范 格式 添加 额外 的 “特性 ”。 

NETCONE 协议 的 命令 集 由 读 取 、 修 改 设备 配置 数据 ， 以 及 读 取 状态 数据 的 一 系列 命 
令 组 成 。 命 令 通过 RPCs 进行 沟通 ， 并 以 RPC 回复 来 应 答 。 一 个 RPC 回复 必须 响应 一 个 
RPC 才能 返回 。 一 个 配置 操作 必须 由 一 系列 RPC 组 成 ， 每 个 都 有 与 其 对 应 的 应 答 RPC。 

4” 通信 协议 层 

通信 协议 层 主 要 提供 一 个 客户 端 与 服务 器 之 间 的 通信 路 径 。Netconf 可 以 基于 任何 能 够 
提供 基本 传输 需求 的 传输 协议 实现 分 层 。 


























6.3 ”网 络 故障 排除 


网 络 故 障 大 致 可 以 分 为 四 类 ， 即 链 路 故障 、 配 置 故 障 、 协 议 故 障 和 服务 故障 。 





6.3.1 ”故障 排除 的 一 般 步骤 


1. 识别 故障 现象 
网 络 管理 员 需 要 做 到 对 问题 的 快速 定位 ， 能 够 及 时 找到 处 理 问题 的 出 发 点 。 在 识别 故 
障 现象 之 前 ， 必 须 明 了 网 络 系统 的 正常 运行 特性 。 就 好 像 医生 必须 知晓 人 在 健康 状况 下 的 





中 UL Ea 


状态 ， 及 各 种 参数 与 指标 ， 以 便 与 患 病 后 的 检查 化 验 结果 相 比较 。 作 为 网 络 管理 员 ， 了 解 
网 络 拓扑 结构 、 理 解 网 络 协议 、 掌 握 操作 系统 和 应 用 程序 ， 都 是 故障 排除 必 不 可 少 的 知识 
准备 。 

识别 故障 现象 时 ， 应 该 询问 以 下 几 个 问题 。 

(1) 当 故 障 现象 发 生 时 ， 正 在 运行 什么 进程 ? 

(2) 这 个 进程 以 前 运行 过 吗 ? 

(3) 以 前 这 个 进程 的 运行 是 否 成 功 ? 

(4) 这 个 进程 最 后 一 次 成 功 运行 是 什么 时 候 ? 

(5) 从 什么 时 候 起 发 生 了 改变 ? 

2. 对 故障 现象 进行 详细 描述 

当 处 理由 用 户 报告 的 问题 时 ， 对 故障 现象 的 详细 描述 显得 尤为 重要 。 无 法 做 出 明确 的 
判断 时 就 要 亲自 到 现场 去 试 着 操作 一 下 ， 运 行 一 下 程序 ， 并 注意 出 错 信 息 。 如 果 确 实 不 了 
解 错 误 信 息 的 确切 含义 ， 查 一 下 用 户 手 册 。 注 意 每 一 个 错误 信息 ， 并 在 用 户 手 册 中 找到 它 
们 ， 从 而 得 到 关于 问题 更 详细 的 解释 ， 这 是 解决 问题 的 关键 。 另 外 ， 亲 自 到 故障 现场 进行 
操作 ， 也 有 机 会 检查 用 户 操作 系统 或 应 用 程序 是 否 运 行 正常 ， 各 种 选项 和 参数 是 否 被 正确 
地 设 定 。 

3. 列举 可 能 导致 错误 的 原因 

接 下 来 ， 网 络 管理 员 则 应 当 考 虑 导致 错误 的 原因 可 能 有 哪些 ， 如 网 卡 硬件 故障 、 网 络 
连接 故障 、 网 络 设备 故障 、TCP/IP 设置 不 当 ， 等 等 。 可 以 根据 出 错 的 可 能 性 把 这 些 原因 按 
优先 级 别 进行 排序 ， 不 要 忽略 其 中 的 任何 一 个 。 


4. 缩小 搜索 范围 


网 络 管理 员 须 采用 有 效 的 软 、 硬 件 工具 ， 从 各 种 可 能 导致 错误 的 原因 中 一 一 剔除 非 故 
障 因素 。 对 所 有 列 出 的 可 能 导致 错误 的 原因 逐一 进行 测试 ， 判 断 某 一 区 域 的 网 络 是 运行 正 
常 或 是 不 正常 。 另 外 ， 也 不 要 在 自己 认为 已 经 确定 了 的 头 一 个 错误 上 停 下 来 ， 而 不 再 继续 
测试 。 因 为 此 时 既 可 能 是 搞 错 了 ， 也 有 可 能 存在 的 错误 不 止 一 个 ， 所 以 ， 尽 量 使 用 所 有 可 
能 的 方法 来 测试 所 有 的 可 能 性 。 

除了 测试 之 外 ， 还 要 注意 辅助 工具 的 使 用 。 第 一 ， 观 察 网 卡 、 交 换 机 和 路 由 器 面板 上 
的 LED 指示 灯 。 通 常情 况 下 ， 绿 灯 表 示 连 接 正 常 ， 红 灯 表 示 连 接 故障 ， 不 亮 表示 无 连接 或 
线路 不 通 ， 长 亮 表示 广播 风暴 ， 指 示 灯 有 规律 地 闪烁 才 是 网 络 正常 运行 的 标志 。 第 二 ， 查 
看 服务 器 、 交 换 机 或 路 由 器 的 系统 日 志 ， 因 为 在 这 些 系统 日 志 中 ， 往 往 记载 着 产生 错误 发 
生 的 全 部 过 程 。 第 三 ， 如 果 安 装 了 诸如 Cisco Works 之 类 的 网 络 管理 软件 ， 可 以 用 它 来 检 
查 一 下 哪些 设备 出 现 了 问题 。 由 于 这 些 网 络 管理 软件 往往 具有 图 形 化 的 用 户 界面 ， 因 此 ， 
交换 机 各 端口 的 工作 状态 可 以 一 目 了 然 地 显示 在 屏幕 上 。 更 进一步 ， 许 多 网 络 管理 软件 还 
具有 故障 预警 和 报警 功能 ， 从 而 使 在 缩小 搜索 范围 时 事半功倍 。 


5. 故障 分 析 
处 理 完 问题 之 后 ， 网 络 管理 员 必 须 分 析 故 障 是 如 何 发 生 的 ， 是 什么 原因 导致 了 故障 的 
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发 生 ， 以 后 如 何 避 免 类 似 故 障 的 发 生 ， 拟 定 相应 的 对 策 ， 采 取 必 要 的 措施 ， 制 定 严格 的 规 
章 制度 。 

对 于 一 些 非常 简单 明显 的 故障 ， 上 述 过程 看 起 来 可 能 会 显得 有 些 烦 琐 ， 但 是 对 于 一 些 
复杂 的 问题 ， 这 却 是 必须 遵循 的 操作 规程 。 


6.3.2 故障 诊断 与 排 错 


1. 链 路 故障 


当 一 台 正 常 连接 的 服务 器 突然 无 法 提供 服务 后 ， 链 路 故障 的 可 能 性 最 大 。 当 计算 机 出 
现 上 述 链 路 故障 现象 时 ， 应 当 按 照 以 下 步骤 进行 故障 的 定位 。 

1) “确认 链 路 故障 

当 出 现 一 种 网 络 应 用 故障 时 ， 首 先 尝试 使 用 其 他 网 络 应 用 ， 如 果 其 他 网 络 应 用 可 正常 
使 用 ， 可 排除 链 路 故障 原因 。 如 果 其 他 网 络 应 用 均 无 法 实现 ， 继 续 下 述 步骤 。 

2) ”基本 检查 

查看 网 卡 的 指示 灯 是 否 正 常 。 正 常情 况 下 ， 在 不 传送 数据 时 ， 网 卡 的 指示 灯 闪 烁 较 慢 ， 
传送 数据 时 ， 闪 烁 较 快 。 无 论 是 不 亮 ， 还 是 长 亮 不 灭 ， 都 表明 有 故障 存在 。 如 果 指 示 灯 闪 
烁 正常 ， 继 续 下 述 步骤 。 

3) ”初步 测试 

使 用 Ping 命令 ，Ping 本 地 的 他 地 址 或 127.0.0.1， 检 查 网 卡 和 IP 网 络 协 议 是 否 安 装 完 
好 。 如 果 Ping 通 ， 说 明 该 计算 机 的 网 卡 和 网 络 协议 设置 都 没有 问题 ， 问 题 出 在 计算 机 与 网 
络 的 连接 上 。 因此 , 应 当 检查 网 线 的 链 路 和 交换 机 及 交换 机 端口 的 状态 。 如 果 无 法 Ping 通 ， 
只 能 说 明 TCP/IP 协议 有 问题 ， 而 并 不 能 提供 更 多 的 情况 。 因 此 ， 需 要 继续 下 述 步骤 。 

4) “排除 网 卡 

在 “控制 面板 ”的 “系统 ”中 ， 查 看 网 卡 是 否 已 经 安装 或 是 否 出 错 。 如 果 网 卡 已 经 正 
确 安装 ， 继 续 下 述 步骤 。 

5) ”排除 网 络 协议 故障 

使 用 ipconfig /all 命令 ， 查 看 本 地 计算 机 是 否 安装 有 协议 TCP/IP， 以 及 是 否 设置 好 卫 
地 址 、 子 网 掩 码 和 默认 网 关 、DNS 域名 解析 服务 。 如 果 协 议 设置 完全 正确 ， 继 续 执行 下 述 
步 又。 

6) ”故障 定位 

到 连接 至 同一 台 交 换 机 上 的 其 他 计算 机 上 进行 网 络 应 用 测试 。 如 果 仍 不 正常 ， 在 确认 
网 卡 和 网 络 协议 都 安装 正确 的 前 提 下 ， 可 以 初步 认定 是 交换 机 发 生 了 故障 。 为 了 进一步 进 
行 确认 ， 可 再 换 一 台 计算 机 继续 测试 ， 进 而 确定 交换 机 的 故障 。 如 果 其 他 计算 机 测试 结果 
完全 正常 ， 则 将 故障 定位 在 发 生 故 障 的 计算 机 与 网 络 的 链 路 。 

7) 故障 排除 

如 果 确 定 故 障 就 发 生 在 某 一 条 连接 上 ， 首 先 ， 确 认 并 更 换 有 问题 的 网 卡 。 其 次 ， 用 网 
线 测试 仪 对 该 连接 中 涉及 的 所 有 网 线 和 跳 线 进行 测试 ， 确 认 网 线 的 链 路 。 如 果 问 题 就 出 在 
里 ， 重 新 制作 网 头 或 更 换 一 条 网 线 。 第 三 ， 检 查 交 换 机 相应 端口 的 指示 灯 是 否 正常 ， 换 一 
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站 Ea 
个 端口 进行 测试 。 

2. 协议 故障 

协议 故障 的 表现 在 许多 方面 与 链 路 故障 有 相似 之 处 ,以 下 原因 可 能 导致 协议 故障 : 协议 
未 安装 、 协 议 配置 不 正确 、 网 络 有 两 个 或 两 个 以 上 的 计算 机 使 用 同一 计算 机 名 称 。 当 计算 
机 出 现 上 述 协议 故障 时 ， 应 当 按 照 以 下 方法 进行 故障 的 定位 。 

(1) 检查 计算 机 是 否 安装 TCP/IP 协议 和 NetBEUI 协议 。 实 现 局 域 网 通信 ， 需 要 安装 
NetBEUI 协议 ;实现 Intemet 通信 ， 需 要 安装 TCP/IP 协议 。 

(2) 检查 计算 机 的 TCP/IP 配置 参数 是 否 正确 。TCP/IP 协议 涉及 的 基本 配置 参数 有 四 
个 ， 即 人 P 地 址 、 子 网 掩 码 、DNS( 域 名 解析 服务 ) 和 默认 网 关 ， 任 何 一 个 设置 错误 ， 都 会 导 
致 故障 发 生 。 

(3) 使 用 Ping 命令 ,测试 与 其 他 计算 机 和 服务 器 的 连接 状况 。 

3. 配置 故障 


网 络 管理 员 对 服务 器 、 交 换 机 、 路 由 器 的 不 当 设 置 自然 会 导致 网 络 故障 。 计 算 机 使 用 
者 (特别 是 接触 计算 机 时 间 不 长 的 员工 ) 对 计算 机 设置 的 修改 ， 也 往往 会 产生 意 想 不 到 的 访 
问 错误 。 服 务 器 和 网 络 设备 的 配置 往往 需要 较 多 的 理论 知识 和 较 高 的 技术 水 平 。 因 此 ， 在 
修改 配置 以 前 ， 必 须 做 好 原 有 的 配置 记录 ， 并 最 好 进行 备份 。 

(1) 服务 器 配置 错误 。 例 如 ， 服 务 器 配置 错误 导致 Web 或 FTP 服务 停止 ; 代理 服务 器 
访问 列表 设置 不 当 ， 阻 止 有 权 用 户 接 入 Internet。 

(2) 网 络 配置 错误 。 例 如 ， 路 由 器 访问 列表 设置 不 当 ， 不 仅 会 阻止 有 权 用 户 接 入 
Internet， 而 且 还 会 导致 网 络 中 所 有 计算 机 都 无 法 访问 Intemet, 第 三 层 交 换 机 的 路 由 设置 不 
当 ， 用 户 将 无 法 访问 另 一 VLAN 中 的 计算 机 ;， 当 交换 机 设置 有 安全 端口 ， 非 授权 用 户 对 该 
端口 的 访问 ， 将 导致 端口 锁 死 ， 从 而 导致 该 端口 所 连接 的 计算 机 无 法 继续 访问 网 络 。 

(3) 用 户 配置 错误 。 例 如 ， 浏 览 器 的 “连接 ”设置 不 当 ， 用 户 将 无 法 通过 代理 服务 器 
接 入 Intermet; 邮件 客户 端的 邮件 服务 器 设置 不 当 ， 用 户 将 无 法 收发 E-mail。 


4. 网 络 服务 故障 


导致 网 络 服务 故障 的 可 能 性 包括 两 个 方面 ， 即 服务 器 硬件 故障 和 操作 系统 故障 。 通 常 
情况 下 ， 导 致 网 络 服务 故障 最 主要 的 原因 是 操作 系统 故障 。 因 此 ， 当 网 络 服务 故障 发 生 时 ， 
首先 应 当 确认 服务 器 是 否 感染 病毒 或 被 攻击 。 

1) “服务 器 硬件 故障 

由 于 服务 器 本 身 在 硬件 选用 上 非常 严格 ， 所 以 ， 在 非 人 为 干预 情况 下 ， 发 生 服 务 器 故 
障 的 可 能 性 比较 小 。 硬 件 故障 往往 是 在 安装 新 的 板 卡 、 修 改 系统 配置 文件 ， 或 者 进行 扩容 
后 发 生 的 。 

(1) 当 扩容 后 发 生硬 件 故 障 时 ， 应 当 检 查 扩容 部 件 ， 去 掉 新 增加 的 内 存 、CPU 或 第 三 
方 IO 卡 ， 检 查 硬盘 、 软 驱 、 光 驱 的 信号 线 有 没有 接 反 ， 跳 线 是 否 正 确 。 拔 除 可 能 导致 故 
障 发 生 的 板 卡 ， 直 至 故障 排除 。 检 查 内 存 、CPU 或 其 他 板 卡 插 得 是 否 牢 靠 ， 必 要 时 拔 下 后 
重新 安装 。 

(2) 当 安 装 硬件 驱动 程序 后 发 生 故 障 , 可 以 在 系统 启动 时 , 按 F8 键 , 选择 “安全 模式 ”， 
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潼 洲 芝 煌 半 ”过 潍 访 舍 寺 才 到 招 巴 


只 加 载 必需 的 硬件 设备 ， 然 后 ， 依 次 打开 “管理 工具 ”“ 计 算 机 管理 ”窗口 ， 删 除 新 添加 
的 硬件 。 利 用 系统 恢复 功能 ， 将 系统 恢复 至 安装 硬件 前 的 状态 ， 升 级 设备 的 驱动 程序 。 

2) “操作 系统 故障 

Windows Server 是 可 以 长 期 稳定 正常 运行 的 。 然 而 ，Windows Server 本 身 也 存在 许多 
系统 和 安全 漏洞 ， 非 常 容易 招致 蠕虫 病毒 或 其 他 各 种 恶意 攻击 。 通 常 可 以 采取 以 下 方式 防 
范 病 毒 攻击 。 

(1) 只 提供 网 络 服务 。 除 非 维护 需要 ， 和 否则 ， 不 要 直接 对 服务 器 进行 操作 ， 更 不 要 将 
服务 器 作为 普通 计算 机 使 用 。 

(2) 关闭 或 删除 系统 中 不 需要 的 服务 。 只 打开 网 络 服务 所 必须 使 用 的 端口 。 提 供 的 服 
务 和 打开 的 端口 越 少 ， 可 被 利用 的 安全 漏洞 也 就 越 少 ， 服 务 器 就 越 不 容易 被 攻击 ， 也 就 越 
安全 。 

(3) 安装 系统 补丁 。 绝 大 多 数 蠕虫 病毒 都 是 利用 系统 漏洞 进行 传播 的 。 因 此 ， 一 定 要 
将 服务 器 设置 为 自动 下 载 并 安装 升级 包 , 实时 访问 微软 的 Windows Update 网 站 ， 及 时 下 载 
并 安装 Windows 系统 的 安全 补丁 。 

(4) 安装 病毒 防火 墙 。 仅 有 系统 安全 补丁 是 不 够 的 ， 还 必须 安装 专业 的 防 病毒 软件 ， 
并 打开 防 病毒 软件 的 实时 监控 功能 ， 即 时 发 现 和 清除 (或 隔离 ) 已 经 感染 的 病毒 。 男 外 ， 应 
当 及 时 升级 防 病毒 程序 的 病毒 库 和 引擎 ， 以 确保 能 够 识别 并 清除 最 新 发 现 的 病毒 。 





本 章 小 结 





本 章 对 网 络 的 概念 及 功能 以 及 网 络 管理 员 应 该 具有 的 知识 结构 和 能 力 做 了 说 明 ， 并 分 
别 从 网 络 管理 协议 、 地 址 冲突 管理 、 数 据 管 理 、 设 备 管理 、 故 障 管理 等 方面 进行 了 分 析 和 
论述 。 

在 网 络 管理 协议 方面 ， 首 先 对 网 络 管理 协议 的 历史 背景 做 了 介绍 ， 其 次 对 SNMP 和 
Netconf 协议 的 管理 模型 进行 了 分 析 ， 使 网 络 管理 人 员 了 解 网 络 管理 的 基本 原理 ， 最 后 在 故 
障 管理 方面 首先 对 故障 类 型 进行 分 析 ， 其 次 给 出 了 排除 故障 的 一 般 流 程 和 方法 ， 以 保证 系 
统 稳定 、 高 效 地 运行 。 

本 章 的 学 习 使 读者 认识 到 网 络 管理 工作 中 各 个 方面 工作 的 重要 性 ， 并 且 对 每 个 方面 的 
工作 有 全 面 的 掌握 ， 以 期 在 开展 计算 机 网 络 系统 管理 工作 时 能 够 科学 系统 地 设计 和 实施 。 








第 7 章 企业 网 设备 SNMP 配置 


教学 目标 

通过 对 校园 网 、 企 业 网 等 园区 网 络 进行 网 络 设备 SNMP 协议 配置 的 各 种 案例 ， 以 实 训 
任务 的 内 容 和 需求 为 背景 ,以 完成 企业 园区 网 的 各 种 网 络 设 备 SNMP 协议 配置 为 实 训 目标 ， 
通过 任务 方式 由 浅 入 深 地 模拟 企业 网 设备 SNMP 配置 的 典型 应 用 和 实施 过 程 ， 以 帮助 学 生 
理解 简单 网 络 管理 协议 SNMP 技术 的 典型 应 用 , 具备 企业 网 网 络 设备 SNMP 的 实施 和 灵活 
应 用 能 力 。 





教学 要 求 
任务 要 点 关联 知识 
(D) 服 务 器 SNMP 协议 安装 
(]) 掌 握 SNMP 基本 概念 及 实现 原理 | (2) 服 务 器 SNMP 协议 配置 
企业 网 设备 SNMP 配置 (2) 掌 握 服务 器 SNMP 配置 (G3) 交 换 机 、 路 由 器 基础 及 配置 命令 
(3) 掌 握 交 换 机 、 路 由 器 SNMP 配置 | (4 交换 机 、 路 由 器 SNMP 基础 配置 
(5) 交 换 机 、 路 由 器 SNMP Trap 配置 
重点 难点 
e@ SNMP 基本 概念 。 
e@ ”SNMP 系统 架构 及 实现 原理 。 
@ 服务 器 SNMP 配置 。 
@ 交换机、 路 由 器 SNMP 基础 配置 。 
e@e 交换机、 路 由 器 SNMP Trap 配置 。 


任务 : 企业 网 设备 SNMP 配置 


SNMP 任务 描述 


某 企 业 办 公 网 采用 层次 化 结构 ， 整 个 网 络 分 为 核心 层 、 汇 聚 层 和 接 入 层 。 办 公 网 络 具 
有 较 多 的 交换 机 、 路 由 器 和 服务 器 ， 现 需要 对 这 些 网 络 设备 进行 远程 管理 ， 为 下 一 步 的 综 
合 网 络 管理 提供 管理 基础 ， 请 给 出 解决 方法 并 实施 。 
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SNMP 任务 目标 与 目的 


1. 任务 目标 


本 任务 针对 企业 办 公 网 的 路 由 器 、 交换 机 、 服 务 器 等 相关 网 络 设备 进行 SNMP 功能 
配置 。 


2. 任务 目的 


通过 本 任务 ， 进 行路 由 器 、 交 换 机 、 服 务 器 等 网 络 设备 SNMP 功能 配置 ， 以 帮助 读者 
了 解 常用 网 络 设备 SNMP 配置 方法 ， 并 有 具备 灵活 应 用 的 能 





SNMP 任务 需求 与 分 析 


1. 任务 需求 

该 企业 办 公 区 分 布 于 两 层 楼 中 ， 共 有 六 个 部 门 ， 每 个 部 门 配置 不 同 数量 的 计算 机 。 办 
公 网 络 已 组 建 完毕 ， 且 该 企业 办 公 网 络 构建 了 多 台 服 务 器 ， 用 于 对 内 和 对 外 提供 相关 的 网 
络 服务 。 要 求 能 通过 相关 网 络 管理 技术 和 管理 系统 对 该 企业 网 络 内 主要 设备 进行 管理 。 根 
据 实 地 考察 ， 该 企业 的 网 络 结构 如 图 7-1 所 示 。 
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图 7-1 企业 的 网 络 结构 
该 企业 网 主要 网 络 设备 如 表 7-1 所 示 。 


表 7-1 企业 网 主要 网 络 设备 


ES 








设备 类 型 设备 名 称 / 型 号 IP 地 址 运行 业务 用 途 
三 层 交 换 机 H3C S3600 10.10.8.6 核心 交换 机 交换 
二 层 交 换 机 H3C E126A 10.10.8.10 汇聚 交换 机 交换 





二 层 交换 机 H3C E126A 10.10.10.7 汇聚 交换 机 交换 
服务 器 DELL 1420 10.10.8.28 Web 网 站 
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2. 需求 分 析 

需求 1: 能 通过 网 络 管理 系统 对 网 络 服务 器 进行 管理 。 
分 析 1: 对 网 络 服务 器 配置 SNMP 功能 。 

需求 2: 能 通过 网 络 管理 系统 对 路 由 器 、 交 换 机 进行 管理 。 
分 析 2: 对 路 由 器 、 交 换 机 配置 SNMP 功能 。 

需求 3; 当 路 由 器 、 交 换 机 出 现 故障 时 ， 能 自动 报警 。 
分 析 3: 对 路 由 器 、 交 换 机 配置 SNMP Trap 功能 。 





SNMP 知识 链接 


1. SNMP 


1) SNMP 的 基本 概念 

简单 的 网 络 管理 协议 (SNMP)， 由 一 组 网 络 管理 的 标准 组 成 ， 包 含 一 个 应 用 层 协议 
(application layer protocoD) 、 数 据 库 模型 (database schema) 和 一 组 资源 对 象 。 该 协议 能 够 支持 
网 络 管理 系统 ， 用 以 监测 连接 到 网 络 上 的 设备 是 否 有 任何 引起 管理 上 关注 的 情况 。 该 协议 
是 互联 网 工程 工作 小 组 IETF，Internet Engineering Task Force) 定 义 的 internet 协议 簇 的 一 部 
分 。SNMP 的 目标 是 管理 互联 网 Intemet 上 众多 厂家 生产 的 软 硬 件 平台 ， 因 此 SNMP 受 
Internet 标准 网 络 管理 框架 的 影响 也 很 大 。SNMP 已 经 出 到 第 三 个 版 本 的 协议 ， 其 功能 较 以 
前 已 经 大 大 地 加 强 和 改进 了 。 

相对 于 OSI 标准 ，SNMP V1 简单 而 实用 。SNMP 最 大 的 特点 是 简单 性 ， 容 易 实现 且 成 
本 低 。 此 外 ， 它 的 特点 还 包括 : @ 四 可 伸缩 性 ，SNMP 可 管理 绝 大 部 分 符合 Intemet 标准 的 设 
备 ; @ 扩 展 性 ， 通 过 定义 新 的 “被 管理 对 象 ”， 可 以 非常 方便 地 扩展 管理 能 力 ; @ 健 壮 性 ， 
即使 在 被 管理 设备 发 生 严重 错误 时 ， 也 不 会 影响 管理 者 的 正常 工作 。 近 年 来 ，SNMP 发 展 
很 快 ， 已 经 超越 传统 的 TCP/IP 环境 ， 受到 更 为 广泛 的 支持 ,成 为 网 络 管理 方面 事实 上 的 标 
准 。 支 持 SNMP 的 产品 中 最 流行 的 是 IBM 公司 的 NetView，Cabletron 公司 的 Spectrum 和 
HP 公司 的 OpenView。 

如 同 TCP/IP 协议 簇 的 其 他 协议 一 样 ， 开 始 的 SNMP 没有 考虑 安全 问题 ， 为 此 许多 用 
户 和 厂商 提出 了 修改 SNMP V1， 增 加 安全 模块 的 要 求 。 于 是 ，IETF 从 1992 年 开始 了 具有 
较 高 安全 性 的 SNMP V2 的 开发 工作 。SNMP V2 在 提高 安全 性 和 更 有 效 地 传递 管理 信息 方 
面 加 以 改进 ， 具 体验 证 、 加 密 和 时 间 同 步 机 制 。1997 年 4 月 ，IETF 成 立 了 SNMP V3 工作 
组 。SNMP V3 的 重点 是 安全 、 可 管理 的 体系 结构 和 远程 配置 。 

SNMP 协议 体系 包括 三 个 主要 组 成 部 分 : 管理 信息 库 MIB、 管 理 信息 结构 SMI 和 简单 
网 络 管理 协议 SNMP。 

SNMP(Simple Network Management Protocol， 简 单 网 络 管理 协议 ) 是 基于 TCP/IP 的 
Internet 网 络 管理 标准 ， 是 最 广泛 的 一 种 网 络 管理 协议 ， 它 被 设计 成 一 个 应 用 层 协议 而 成 为 
TCP/IP 协议 簇 的 一 部 分 。 SNMP 自身 是 采用 无 连接 的 信息 传输 方式 ， 它 是 通过 用 户 数据 报 
协议 (UDP) 来 实现 的 ， 因 而 带 给 网 络 系统 的 负载 很 低 。 总 的 来 讲 ，SNMP 具有 以 下 特点 。 
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(1) SNMP 易于 实现 。 

(2) SNMP 是 被 广泛 接纳 并 被 通信 设备 厂家 使 用 的 工业 标准 。 

(3) SNMP 被 设计 成 与 协议 无 关 ， 所 以 它 可 以 在 耳 、IPX、AppleTalk、OSI 以 及 其 他 
用 到 的 传输 协议 上 被 使 用 。 

(4) SNMP 保证 管理 信息 在 任意 两 点 间 传 送 ， 只 要 下 可 达 且 无 防火 墙 限制 。 

(5) SNMP 定义 基本 的 功能 集 收集 被 管 设备 的 数据 。 

(6) SNMP 目前 有 三 个 版 本 Vl1、V2、V3， 其 中 V1、V2 应 用 普遍 。 

(7) SNMP 是 开放 的 免费 产品 。 

(8) SNMP 具有 很 多 详细 的 文档 资料 。 

(9) SNMP 可 用 于 控制 各 种 设备 。 

目前 ， 几 乎 所 有 的 网 络 设备 生产 厂家 都 实现 了 对 SNMP 的 支持 。 领 导 潮流 的 SNMP 是 
一 种 从 网 络 上 的 设备 收集 管理 信息 的 公用 通信 协议 。 设 备 的 管理 者 收集 这 些 信 息 并 记录 在 
管理 信息 库 (MIB) 中 。 这 些 信息 报告 设备 的 特性 、 数 据 吞吐 量 、 通 信 超 载 和 错误 等 。MIB 
有 公共 的 格式 , 所 以 来 自 多 个 厂商 的 SNMP 管理 工具 可 以 收集 MIB 信息 , 在 管理 控制 台 上 
呈现 给 系统 管理 员 。 

通过 将 SNMP 舱 入 数据 通信 设备 ， 如 路 由 器 、 交 换 机 或 集线器 中 ， 就 可 以 从 一 个 中 心 
站 管理 这 些 设 备 ， 并 以 图 形 方式 查看 信息 。 目 前 可 获取 的 很 多 管理 应 用 程序 通常 可 在 大 多 
数 当前 使 用 的 操作 系统 下 运行 。 

2) ”SNMP 实现 原理 

SNMP 管理 模型 中 有 三 个 基本 组 成 部 分 : 管理 代理 (agent)、 管 理 进 程 (manager) 和 管理 信 
息 库 (MIB)。SNMP 的 实现 原理 如 图 7-2 所 示 。 


SNMP Manager SNMP Agent 
被 管 资源 





















管理 应 用 进程 +-------------- 

管理 应 用 对 象 
全 | Bi| | 生生 信和 
2| | 8 4 || § 










SNMP Manager <+-------------- SNMP Manager 


底层 网 络 接口 








底层 网 络 接口 





7-2 SNMP 的 实现 原理 





通过 Get 操作 获得 被 管 对 象 的 状态 信息 及 回应 信息 ; 


一 个 被 管理 的 设备 有 一 个 管理 代理 ， 它 负责 向 管理 站 请 求 信息 和 动作 ， 代 理 还 可 以 借 
助 于 陷阱 为 管理 进程 提供 被 管理 系统 的 动态 信息 。 因 此 ， 一 些 关键 的 网 络 设备 (如 路 由 器 、 
交换 机 等 ) 提 供 这 一 管理 代理 ， 又 称 SNMP 代理 ， 以 便 通 过 SNMP 管理 站 进行 管理 。SNMP 
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通过 Set 操作 来 控制 被 管 对 象 ， 以 上 


功能 均 通 过 轮 询 实现 ， 即 管理 进程 定时 向 被 管 对 象 的 代理 进程 发 送 查 询 状态 的 信息 ， 以 维 
持 网 络 资源 的 实时 监控 。 


2. 配置 命令 


H3C 系列 和 Cisco 系列 交换 机 、 路 由 器 关于 SNMP 配置 的 相关 命令 与 对 应 关系 如 表 7-2 


所 示 。 


功 能 
使 能 SNMP 


设置 SNMP 版 本 


设置 读 操作 团体 号 


设置 写 操作 团体 号 


启用 SNMP TRAP 
功能 


设置 接收 SNMP 
TRAP 数据 主机 


设置 触发 TRAP 
事件 





配置 模式 


系统 视图 


SNMP 任务 实施 


1. 实施 规划 


1)” 实 训 拓 扑 结 构 
根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 7-3 所 示 ， 以 swA 模拟 该 企 





业 网 交换 机 ，Web 服务 器 模拟 该 企业 网 络 服务 器 ， 验 订 


表 7-2 SNMP 配置 命令 


H3C 系列 交换 机 


Cisco、 锐 捷 系 列 交换 机 


配置 视图 基本 命令 


[H3C]snmp-agent sys-info 
Version v1 


[H3C]SNMP-agent 


community read public 


[H3C]snmp-agent 
community write _public 


[H3C]SNMP-agent tral 


enable 


[H3C] SNMP-agent target- 


Cisco(config)#SNMP- 
server community public rw 


Cisco(config)#SNMP- 


server enable traps 


全 局 配 
置 模 式 














host trap address udp-domain Cisco(config)#SNMP- 
192.168.2.3params security Serverhost 192.168.2.3 private 
name public v1 

Cisco(config)#SNMP- 
[H3C] SNMP-agent trap 

server enable traps SNMP 
enable standard coldstart cs 

authentication coldstart 





E 机 模拟 该 企业 网 络 管理 员 计 算 机 。 
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让 


SwA 


IP:192.168.2.2/24 
< Consle 


— 
9 
配置 机 Web 服 务 器 
IP:192.168.2.4/24 
站 
验证 机 


IP:192.168.2.3/24 
图 7-3” 实 训 的 拓扑 结构 及 网 络 参数 
2)” 实 训 设 备 
根据 任务 的 需求 和 实 训 拓 扑 ， 每 实 训 小 组 的 实 训 设 备 配 置 清 单 ， 如 表 7-3 所 示 。 


表 7-3 实 训 设备 配置 清单 


设备 类 型 数 量 
交换 机 
计算 机 
服务 器 
双 纹 线 
软件 


3) ”IP 地 址 规划 
根据 实 训 需 求 ， 实 训 环境 相关 设备 人 P 地 址 规划 如 表 7-4 所 示 。 














表 7-4 IP 地 址 规划 
设备 类 型 设备 名 称 /型 号 IP 地 址 
计算 机 验证 机 192.168.2.3/24 
服务 器 Web 服务 器 192.168.2.4/24 
交换 机 SwA 192.168.2.2/24 





2. 实施 步骤 


任务 的 实施 步骤 如 下 。 
(1) 根据 实 训 拓 扑 图 进行 交换 机 、 计 算 机 等 网 络 设备 的 线 缆 连 接 ,， 配置 PC、 服 务 器 的 
IP 地 址 ， 搭 建 好 实 训 环境 。 

(2) 安装 和 配置 服务 器 SNMP 功能 。 

在 Web 服务 器 上 通过 “开始 ”菜单 ， 打 开 “ 添 加 /删除 程序 ”对 话 框 ， 再 选择 “添加 / 
删除 Windows 组 件 ”， 选 中 “管理 和 监视 工具 ” 复 选 框 ， 如 图 7-4 所 示 。 

单 击 “ 详 细 信 息 ” 按 钮 ， 弹 出 “管理 和 监视 工具 ”对 话 框 ， 在 组 件 列表 框 中 选中 “ 简 
单 网 络 管理 协议 (SNMP)” 复 选 框 ， 如 图 7-5 所 示 。 




















EE 





Windors 组件 
可 以 添加 或 删除 Windows 的 组 件 。 





件 ， 请 香 韦 孝 这 的 芝 先 种。 灰色 权 表 示 只 会 安 闭 访 组件 的 一 名 
末 王 内 和 人 

















请 于 “评话 信息 ” 
租 件 GO): 
口 昌 电子 邮件 服务 Lim 可 
同 响 附件 和 工具 二 2 了 到 
网 轩 机 新 祺 证 节 Do 
| 口 前 其 它 的 网 络 文件 和 打印 屯 务 MD 开导 
扒 术 : 外 训 自视 和 汉语 几 性 能 的 工具。 
所 基 训 权 宁 全 - 20.6 四 
可 有 可 人 全 间 : easa.3 WB .| 
< Em we | | 





图 7-4 ”选中 “管理 和 监视 工具 ” 复 选 杠 
FEIT  ， J 
i 明和 


管理 和 监视 工具 的 子 组 件 (C) : 








| 轧 WII sitP 进 殿 程序 1.11B 国 
区 恩 WII Windors Installer 提供 程序 0.5 ME 
| 区 枸 迁 接点 服务 0.21B 
区 加 还 扶 管 理 器 管理 工具 包 1.2 WB 
四 轧 网 络 监 视 工具 2.5 ME 国 


描述 : ”包含 代理 程序 可 以 监视 网 阁 说 各 的 活动 并 且 向 网 洛 榨 制 台 工作 站 汇报 。 





所 需 磁 盘 空 间 20.6 MB 
可 用 磁盘 空间 ; 6333.3 MD 


Cm |] ww | 





图 7-5 “管理 和 监视 工具 ”对 话 框 
“确定 ”按钮 ， 开 始 进行 SNMP 协议 的 安装 。 再 单 击 “ 确 定 ” 按 钮 ， 完 成 SNMP 





单 
安装 。 

通过 “开始 ”菜单 ， 依 次 选择 “程序 ”一 “计算 机 管理 ”一 “服务 ”选项 ， 打 开 “ 服 
务 ” 窗 口 ， 找 到 SNMP， 如 图 7-6 所 示 。 








文件 是 ) 操作 从 ) 查看 [ZJ) 帮助) 
-~ | 而 印加 加 | 
| 






SMP Service 





SNMP 这 求 。 5 
守 茜 用， 所 有 有明 刺 依 术 
芝 生 竹下 启示 

















7-6 SNMP 服务 
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双击 SNMP Service， 打 开 “SNMP Service 的 属性 ”对 话 框 ， 如 图 7-7 所 示 。 
切换 到 “安全 ”选项 卡 ， 单 击 “ 添 加 ”按钮 ,设置 SNMP 团体 权限 和 团体 名 称 ， 此 处 
将 团体 权限 设置 为 “只 读 ”， 团 体 名 称 设置 为 public， 单 击 “ 添 加 ”按钮 ， 即 完成 团体 名 
称 的 设置 ， 如 图 7-8 所 示 。 
SWIF service 的 届 性 (本 于 计算 机 》 ”KE 
常规 | 可 录 | 次 复 | 代理 | 陪 际 ”安全 | 依存 关系 | 
厅 汽 寺 身 份 验 证 陆 际 ) 


| 接受 团 林 和 称 人 二 














可 执行 文件 的 峰 笃 (HE) ; 














:WINDOVS\Sys tens2\srmp. exe 
启动 类 型 到) : 。 [自动 习 
服务 状 右 : 已 启动 

启动 (3) 停止 人 他) 颖 中 硬 


当 从 此 处 局 动 服务 时 ， 估 可 指定 所 适用 的 启动 天 数 . 


启 号 基数 ON) 

















7-7 SNMP Service 的 属性 图 7-8 设置 SNMP 团体 


设置 该 台 服 务 器 接收 来 自 哪些 主机 的 SNMP 数据 ， 此 处 选中 “接受 来 自任 何 主机 的 
SNMP 数据 包 (c)” 单 选 按钮 ， 如 图 7-9 所 示 。 
sRIP Service 的 属性 (本 地 计算 栅 》 AE 
党 规 | 登录 | 恢复 | 代理 | 陷 用 ”安全 | 依存 关系 | 
厅 发 半身 份 验证 陪 陡 0) 


接受 团体 名 称 全 一 一 一 一 一 
团 洒 | 权限 J 
Dualic 只 该 


对 加 D)... | 编辑 (EB)... | 删除 GE) | 














后 污 要 来 和 任何 计 机 的 SixF 要 所 多 习 
一个 类 受 末 自 这 些 主机 的 SHIP 数据 旬 (T) 











| 




















ET 





7-9 接收 主机 的 SNMP 数据 包 


(3) 配置 交换 机 SNMP 功能 。 

在 配置 机 上 ， 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ” 组件 程序 ， 通 过 串口 连接 
到 交换 机 的 配置 界面 , 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数据 位 8、 
奇偶 校 验 无 、 数 据 流 控制 无 )。 

在 SwA 上 进行 SNMP 功能 配置 ， 主 要 配置 清单 如 下 。 


ES 











TT EE NR 





一 、 初 始 化 配置 
<H3C>system-view 
[H3C]sysname swA 
[swAlinterface Vlan-interface 1 
[swA-Vlan-interfacellip address 192.168.2.2 255.255.255.0 
二 、SNMP 基础 配置 
1. 使 能 SNMP 协议 
[swAlsnmp-agent 
2. 设 置 SNMP 协议 版 本 
[swA]snmp-agent sys-info version v3 
3. 设 置 读 操 作 团 体 号 
[swA]snmp-agent community read public 
4. 设 置 写 操作 团体 号 
[swAlsnmp-agent community write public 
三 、SNMP Trap 配置 
1. 使 能 SNMP Trap 功能 
[swA]snmp-agent trap enable 
2. 设 置 接收 SNMP Trap 事件 主机 地 址 
[SwA]snmp-agent target-host trap address udp-domain 192.168.2.3 params security name public v1 
3. 设 置 触发 trap 的 事件 
[SwA]snmp-agent trap enable standard coldstart 
、 保 存 配置 








(4) 验证 机 安装 SNMP 测试 软件 。 
在 验证 机 上 安装 SNMP tester、receive_trap 软件 ， 以 验证 SNMP 的 配置 。 


SNMP 任务 验收 


1. 设备 验收 

根据 实 训 拓 扑 结 构图 ， 查 看 交换 机 、 服 务 器 等 设备 的 连接 情况 。 
2. 配置 验收 

在 Web 服务 器 上 查看 SNMP 配置 情况 。 

3. 功能 验收 


1) “服务 器 SNMP 功能 验收 

在 验证 机 上 运行 SNMP Tester 软件 ， 并 进行 SNMP 测试 的 设置 ， 如 图 7-10 所 示 。 

在 Device 卫 文本 框 中 输入 服务 器 的 卫 地 址 ， 单 击 Run Test 按钮 ， 即 可 读 出 该 服务 器 
的 相关 SNMP 信息 。 

2) “交换 机 SNMP 基本 功能 验收 

步骤 与 服务 器 SNMP 功能 验收 相同 ， 在 Device IP 文本 框 中 输入 交换 机 的 人 P 地 址 。 
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3) ”交换 机 SNMP Trap 功能 验收 
在 验证 机 上 运行 receive trap 软件 ,依次 选择 “控制 菜单 ”/“ 启 用 ”选项 ,开启 receive trap 
接收 Trap 数据 包 的 功能 ， 如 图 7-11 所 示 。 








Local Pp: fm 本 
Deves pp: [ET 
Port: |161 

SNMP Version; |SNMP V2c 了 
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7-11 receive _trap 配置 


此 时 通过 shutdown 命令 将 交换 机 swA 的 VLAN 1 关闭 ，receive trap 程序 将 接收 报警 
信息 ， 如 图 7-12 所 示 。 
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7-12 ”接收 Trap 报警 信息 


SNMP 任务 总 结 


针对 某 公 司 办 公 区 内 部 网 络 的 网 络 管理 系统 的 建设 ， 通 过 需求 分 析 进 行 了 实 训 的 规划 
和 实施 , 通过 本 任务 进行 了 服务 器 SNMP 配 置 、 交 换 机 SNMP 基本 配置 、 交 换 机 SNMP TRAP 
配置 等 方面 的 实 训 。 








第 8 章 企业 网 监测 技术 


教学 目标 

通过 对 校园 网 、 企 业 网 等 网 络 进行 网 络 监测 的 各 种 案例 ， 以 各 实 训 任务 的 内 容 和 需求 
为 背景 ， 以 完成 企业 网 的 各 种 网 络 监测 技术 为 实 训 目标 ， 通 过 任务 方式 由 浅 入 深 地 模拟 各 
类 网 络 监 测 技术 的 典型 应 用 和 实施 过 程 ， 以 帮助 学 生理 解 网 络 监 测 技术 的 典型 应 用 ， 具 备 
企业 网 监测 的 实施 和 灵活 应 用 能 





















教学 要 求 
任务 要 点 能 力 要 求 关联 知识 
(D) 掌 握 端口 监测 技术 基本 原理 
(2) 掌 握 网 络 设备 运行 状态 监控 的 一 般 “| (1) 交 换 机 基础 及 配置 命 
企业 网 设备 运行 状态 监控 | 思路 (2) 端 口 监测 技术 
(3) 掌 握 IPsentry 网 络 状态 监控 软件 使 用 | (3)IPsentry 网 络 状态 监控 软件 
方法 
(掌握 网 络 带宽 的 基本 概念 
CO) 掌握 网 络 带宽 监测 的 意义 与 一 般 实 
ER 0) 网 络 带宽 
企业 网 线路 流量 监测 现 思路 ea 
人 OO) 掌握 PRTG 流量 监控 软件 的 使 用 基 | C)PRTG 流量 监控 软件 的 使 
本 方法 
重点 难点 
. 口 监测 技术 。 
. en 网 络 状 态 监控 软件 。 
e@ 网 络 带宽 。 
e@ ”PRTG 流量 监控 软件 。 


8.1 任务 1: 企业 网 设备 运行 状态 监测 


8.1.1 设备 状态 监控 任务 描述 


某 企 业 办 公 网 采用 层次 化 结构 ， 整 个 网 络 分 为 核心 层 、 汇 聚 层 和 接 入 层 ， 同 时 为 企业 
员工 提供 了 多 种 网 络 服务 ， 办 公园 区 网 具有 较 多 的 交换 机 和 多 台 服 务 器 ， 现 在 需要 实时 监 
控 各 主要 交换 设备 和 服务 器 设备 的 运行 状态 。 请 给 出 解决 方法 并 实施 。 
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8.1.2 设备 状态 监控 任务 目标 与 目的 


1. 任务 目标 

本 任务 针对 企业 办 公 网 的 交换 设备 和 服务 器 的 运行 状态 进行 监控 ， 能 实时 监控 各 设备 
的 运行 状态 ， 在 出 现 异 常 时 给 出 告警 。 

2. 任务 目的 

通过 本 任务 利用 IPsentry 软件 对 网 络 设备 运行 情况 进行 监控 ， 实 时 监控 各 设备 的 运行 
状态 ， 以 帮助 读者 了 解 常用 的 网 络 设备 运行 状态 监控 的 思路 以 及 IPsentry 的 使 用 方法 ， 并 
具备 灵活 运用 的 能 











8.1.3 设备 状态 监控 任务 需求 与 分 析 


1. 任务 需求 

该 企业 办 公 区 分 布 于 两 层 楼 中 ， 共 有 六 个 部 门 ， 每 个 部 门 配置 不 同 数量 的 计算 机 。 办 
公 网 络 已 组 建 完毕 ， 且 该 企业 办 公 网 络 构建 了 多 台 服 务 器 ， 用 于 对 内 和 对 外 提供 相关 的 网 
络 服 务 。 要 求 能 通过 相关 网 络 管理 技术 实时 监控 主要 网 络 设备 的 运行 情况 。 根据 实地 考察 ， 
该 企业 的 网 络 结构 如 图 8-1 所 示 。 





bb be 
工程 部 网 络 部 ”财务 部 后 支部 


图 8-1 企业 的 网 络 结构 
该 企业 办 公 区 网 络 的 主要 设备 如 表 8-1 所 示 。 
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表 8-1 企业 办 公 区 网 络 的 主要 设备 








设备 类 型 设备 名 称 /型 号 IP 地 址 运行 业务 
三 层 交 换 机 | 锐 捷 RG-3760 10.10.8.6 核心 交换 机 | 交换 
二 层 交 换 机 | 锐 捷 RG-S2328G 10.10.8.10 核心 交换 机 | 交换 
二 层 交换 机 | 锐 捷 RG-S2328G 10.10.107 汇聚 交换 机 






























服务 器 DELL 1420 10.10.8.28 WEB 

2. 需求 分 析 

需求 1: 在 不 能 改动 原 有 拓扑 结构 的 情况 下 ， 对 办 公 网 主要 设备 进行 监控 ， 应 不 影响 
设备 的 运行 可 靠 性 和 稳定 性 ， 导 致 网 络 故障 和 效率 低下 。 


需求 2: 采用 先进 的 网 络 管理 技术 对 办 公 网 设备 的 实时 运行 状态 进行 监控 ， 能 管理 不 
同 三 家 和 类 型 的 设备 ， 并 在 出 现 故 障 时 进行 告警 。 
分 析 : 使 用 IPsentry 网 络 监测 软件 对 校园 网 设备 和 线路 进行 监控 。 


8.1.4 设备 状态 监控 知识 链接 


1. 端口 监测 


1) ”传输 层 

TCP/IP 体系 中 的 传输 层 是 整个 网 络 体系 结构 的 关键 层次 之 一 ， 它 向 上 面 的 应 用 层 提供 
通信 服务 。 传 输 层 有 两 个 不 同 的 协议 : 用 户 数据 报 协议 UDP(User Datagram Protocol) 和 传输 
控制 协议 TCP(Transmission Control Protocol) 。 

(1) UDP 在 传送 数据 之 前 不 需要 先 建立 连接 。 对 方 的 运输 层 在 收 到 UDP 报 文 后 , 不 
需要 给 出 任何 确认 。 虽 然 UDP 不 提供 可 靠 交 付 ， 但 在 某 些 情况 下 UDP 是 一 种 最 有 效 的 
工作 方式 。UDP 适用 于 多 次 少量 数据 的 传输 和 实时 性 要 求 高 的 业务 。 

(2) TCP 则 提供 面向 连接 的 服务 ， 但 不 提供 广播 或 多 播 服 务 。 由 于 TCP 要 提供 可 靠 
的 、 面 向 连接 的 运输 服务 ， 因 此 不 可 避免 地 增加 了 许多 的 开销 。 这 不 仅 使 协议 数据 单元 的 
首部 增 大 很 多 ， 还 要 占用 许多 的 处 理 机 资源 。TCP 适用 于 一 次 传送 大 批量 的 数据 。 

2) 端口 

端口 是 应 用 程序 在 传输 层 传送 数据 时 的 标识 ， 是 用 来 标志 应 用 层 的 进程 。 端 口 的 作用 
就 是 让 应 用 层 的 各 种 应 用 进程 都 能 将 其 数据 通过 端口 向 下 交付 给 运输 层 ， 以 及 让 运输 层 知 
道 应 当 将 其 报 文 段 中 的 数据 向 上 通过 端口 交付 给 应 用 层 相应 的 进程 。 端 口 在 应 用 进程 之 间 
的 通信 中 所 起 的 作用 如 图 8-2 所 示 。 

端口 用 一 个 16 bit 端口 号 进行 标志 。 端 口号 只 具有 本 地 意义 ， 即 端口 号 只 是 为 了 标志 
本 计算 机 应 用 层 中 的 各 进程 。 在 因特网 中 不 同 计算 机 的 相同 端口 号 是 没有 联系 的 。 

根据 服务 类 型 的 不 同 ， 端 口 分 为 两 种 : 一 是 TCP 端口 ; 二 是 UDP 端口 。 它 们 分 别 对 
应 传输 层 的 两 种 协议 (TCP、UDP)。 

端口 号 的 分 配 是 一 个 重要 问题 有 两 种 基本 分 配方 式 : 熟知 端口 分 配 和 一 般 端口 分 配 。 
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图 8-2 ”端口 在 进程 之 间 的 通信 中 所 起 的 作用 
熟知 端口 分 配 : 由 ICANN 负责 分 配给 一 些 常 用 的 应 用 层 程序 固定 使 用 的 端口 ， 其 数 
值 一 般 为 0~1023。 常 见 的 服务 和 端口 对 应 关系 如 表 8-2 所 示 。 
表 8-2 常见 的 服务 和 端口 对 应 关系 


[rep |re jump jz up | 





[3 ||; | li li |: 


一 般 端 口 分 配 : 用 来 随时 分 配给 请 求 通信 的 客户 进程 , 一 般 是 数值 大 于 1024 的 端口 号 。 

端口 监测 通过 选用 远程 TCP/IP 主机 不 同 的 端口 的 服务 , 并 记录 目标 给 予 的 回答 , 通过 
这 种 方法 ， 可 以 搜集 到 很 多 关于 目标 主机 的 各 种 有 用 的 信息 ， 通 过 对 一 些 熟 知 端口 的 监测 
能 获取 主机 上 运行 的 服务 的 状态 ， 从 而 达到 远程 监控 网 络 运行 状态 的 目的 。 

2. IPSentry 网 络 状态 监控 软件 


IPSentry 是 一 款 网 络 状态 监控 软件 ， 它 周期 性 轮 循 检 测 网 络 节点 通 断 或 主机 上 运行 的 
业务 ， 自 动产 生 HTML 格式 的 检测 结果 ， 并 按 日 期 记录 log 文件 。 这 些 log 文件 可 以 被 导 
入 数据 库 中 ， 按 任意 时 间 段 做 出 网 络 统计 报表 。IPSentry 能 实时 检测 网 络 设备 的 各 类 服务 
和 通 断 情况 ， 当 某 服务 停止 或 网 络 中 断 时 ,该 软件 会 通过 EMAIL、 声 音 或 运行 其 他 软件 来 


8.1.5 设备 状态 监控 任务 实施 


1. 实施 规划 

1)” 实 训 拓 扑 结 构 

根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 8-3 所 示 ， 以 swA 模拟 该 企 
业 网 主 交 换 机 ，swB、swC 模拟 部 门 交 换 机 ，Web 服务 器 模拟 该 企业 网 络 服 务 器 ， 验 证 机 
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模拟 该 企业 网 络 管理 员 计算 机 。 


SwA 











IP:10.10.86 
Web 服 务 器 


PE IP: 10.10.8.28 
IP:10.10.11.6 


全 


三 


% 


IP:10 10.106 





PC1 PC2 


图 8-3 实 训 的 拓扑 结构 及 网 络 参数 
2) “ 实 训 设备 
根据 任务 的 需求 和 实 训 拓扑 ， 每 实 训 小 组 的 实 训 设备 配置 清单 如 表 8-3 所 示 。 
表 8-3 实 训 设备 配置 清单 
设备 类 型 数 量 
交换 机 [acssao 


交换 机 [HacEo | 
计算 机 [pc wintsx 


服务 器 PC, Windows Server 2003 
软件 IPSentry5.1.1 





双 绞 线 
3) ”监控 参数 
办 公 网 络 需要 监控 的 网 络 设备 的 主要 参数 配置 如 表 8-4 所 示 。 
表 8-4 办公 网 络 需要 监控 的 网 络 设备 的 主要 参数 配置 


设备 名 称 /型 号 


监控 参数 



























三 层 核 心 交 换 机 H3C S3600 10.10.8.6 通 断 情况 Ping 
二 层 汇聚 交换 机 | H3C E126A 10.10.10.6 | 通 断 情况 | Ping 
二 层 汇聚 交换 机 | H3C E126A 10.10.11.6 | 通 断 情况 | Ping 
服务 器 PC Windows Server 2003 10.10.8.28 





2. 实施 步骤 
任务 的 实施 步骤 如 下 。 
(1) 根据 实 训 拓扑 图 进行 交换 机 、 计 算 机 等 网 络 设备 的 线 缆 连 接 ， 配置 PC、 服 务 器 的 
思 地址 ， 配 置 交 换 机 的 VLAN、IP、 路 由 等 参数 ， 连 通 整 个 网 络 ， 搭 建 好 实 训 环境 。 

(2) 正确 配置 需要 监控 的 网 络 设备 的 SNMP， 具 体 配 置 步 又 参考 教材 “第 7 章 企业 
网 设备 SNMP 配置 ”。 
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(3) 安装 IPSentry。 

从 IPSentry 网 站 下 载 PSentry 软件 的 评估 版 本 , 评估 版 本 为 21 天 试用 期 ,下载 站 点 为 
http://www.ipsentry.com/download。 

在 PC1 或 PC2 上 运行 安装 程序 ipssetup.exe, 并 单 击 install IPsentry 按钮 进行 安装 程序 ， 
如 图 8-4 所 示 。 

在 接 下 来 的 界面 中 同意 安装 IPSentry 许可 ， 根 据 向 导 完 成 安装 。 

(4) 配置 IPSentry 的 监控 参数 。 

启动 IPSentry 进行 配置 选项 ， 选 择 Action 选项 ， 如 图 8-5 所 示 。 








Installer Tips 


Check (Tgnore Schedule) CtrltG 


Bestart IFSentry 
Bit 





2008.7.8 14:51 279 seconds unti next cycle. 
8-4 安装 IPSentry 8-5 启动 IPSentry 配置 选项 


选择 Edit Devices 栏 ， 根 据 监控 的 对 象 添 加 各 项 监控 项 ， 选 择 Network Monitor 下 面 的 
PING 以 监控 设备 通 断 情况 , 如果 需要 监控 其 他 服务 根据 实际 情况 选择 ， 如 监控 各 种 网 络 服 

















图 8-6 添加 PING 监控 项 


[也 提示 : 如 要 选择 监控 其 他 内 容 (磁盘 空间 、Windows 服务 等 ) 需 要 输入 SNMP 参数 或 具 
有 权限 的 操作 系统 账号 。 


添加 第 一 台 要 监控 的 设备 ， 设 置 Ping 的 监控 参数 (类 型 、 姓 名 、 卫 地 址 、 端 口 等 )， 如 
图 8-7 所 示 。 
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切换 到 Alerts 选项 卡 以 设置 该 项 的 报警 方式 ， 第 一 栏 为 音频 报警 ， 也 可 选择 其 他 报警 
方式 (短信 、 邮 件 、 程 序 、 日 志 等 )， 如 图 8-8 所 示 。 
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8-7 配置 Ping 的 监控 参数 8-8 设置 报警 方式 


根据 监控 对 象 和 监控 参数 不 同 ， 按 以 上 步骤 分 别 进行 配置 ， 完 成 各 网 络 设备 的 添加 。 
配置 完 各 项 监控 内 容 ，IPSentry 开始 执行 对 各 监控 对 象 的 循环 监控 ， 将 其 中 的 监控 目 
标 中 断 服务 或 断 开 网 络 以 验证 IPSentry 的 告警 是 否 执行 。 


8.1.6 设备 状态 监控 任务 验收 


1. 设备 验收 

根据 实 训 拓扑 结构 图 ， 查 看 交换 机 、 服 务 器 等 设备 的 连接 情况 ， 确 认 各 设备 连通 。 
2. 配置 验收 

在 安装 了 IPSentry 软件 的 计算 机 上 查看 配置 情况 ， 检 查 各 项 监控 目标 。 

3. 功能 验收 


根据 核心 交换 机 的 Ping 参数 监控 配置 ， 进 行 功 能 验收 。 在 如 图 8-9 所 示 的 窗口 下 单 击 Test 
Alert 按钮 ， 检 查 监控 对 象 是 否 正 常 ， 如 果 正 常 将 显示 Alert OK 提示 框 ， 达 到 配置 效果 ， 如 
图 8-10 所 示 。 
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8-9 检查 监控 对 象 
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8-10 ”核心 交换 机 状态 验收 效果 


断 开 监 控 对 象 的 连 线 或 服务 ， 当 网 络 中 断后 ，IPSentry 监控 主机 界面 将 显示 报警 ， 并 
以 声音 方式 发 出 告警 。 





8.1.7 ”设备 状态 监控 任务 总 结 
针对 企业 网 设备 运行 状态 监测 的 建设 内 容 和 目标 ， 通 过 需求 分 析 进 行 了 实 训 的 规划 和 


实施 ， 通 过 本 任务 进行 了 各 主要 监控 设备 的 配置 和 验收 ， 达 到 了 通过 运用 网 络 管理 软件 对 
网 络 设备 运行 状态 进行 监测 ， 保 障 网 络 的 正常 运行 和 性 能 优化 。 


8.2 任务 2: 企业 网 线路 流量 监测 


8.2.1 流量 监控 任务 描述 


某 企业 办 公 网 采用 层次 化 结构 ， 整 个 网 络 分 为 核心 层 、 汇 聚 层 和 接 入 层 ， 同 时 为 企业 
员工 提供 了 多 种 网 络 服务 。 办 公 网 具有 较 多 的 交换 机 和 多 台 服 务 器 ， 需 要 实时 监测 主要 交 
换 机 的 线路 流量 情况 。 请 给 出 解决 方法 并 实施 。 





8.2.2 流量 监控 任务 目标 与 目的 


1. 任务 目标 


本 任务 针对 办 公 网 交换 设备 的 线路 流量 进行 监控 , 能 实时 监控 各 主要 线路 的 流量 状态 ， 
以 便 能 及 时 调整 和 优化 网 络 带宽 。 


2. 任务 目的 
通过 本 任务 利用 PRTG 软件 对 交换 机 的 线路 流量 进行 监控 ， 实 时 监控 各 线路 的 流量 状 














(GC@》 计算 机 网 络 安全 与 管理 项 目 教程 





潼 洲 营 糖 半 ”车 潍 R 舍 上 革 坟 纠 招 也 


让 

















态 ， 以 帮助 读者 了 解 常用 的 网 络 线路 流量 监控 的 思路 ， 以 及 掌握 PRTG 的 使 用 方法 ， 并 具 
备 灵 活 应 用 能 


8.2.3 流量 监控 任务 需求 与 分 析 


1. 任务 需求 

该 企业 办 公 区 分 布 于 两 层 楼 中 ， 共 有 六 个 部 门 ， 每 个 部 门 配置 不 同 数量 的 计算 机 。 办 
公 网 络 已 组 建 完毕 ， 且 该 企业 办 公 网 络 构建 了 多 台 服 务 器 ， 用 于 对 内 和 对 外 提供 相关 的 网 
络 服务 。 要 求 能 通过 相关 网 络 管理 技术 和 产品 对 办 公 网 络 内 主要 线路 流量 进行 实时 监控 ， 
以 便 为 网 络 管理 员 优化 网 络 提供 依据 。 根 据 实地 考察 ， 该 企业 的 网 络 结构 如 图 8-11 所 示 。 


yy 
yy 


Server 群 组 








二 楼 二 层 交换 机 


总 经 埋 办 公 室 财务 部 启动 凶 。。 工程 部 网 络 部 则 务 部 后 支部 
图 8-11 企业 的 网 络 结构 
该 企业 需要 监控 企业 网 主要 线路 的 线路 流量 ， 具 体 各 线路 情况 如 表 8-5 所 示 。 
表 8-5 企业 网 主干 线路 表 


发 起 端 设 备 (IP) 发 起 端口 对 端 设备 (IP) 对 端 设备 口 对 端 位 置 
10.10.8.6 Port 1/0/1 10.10.10.6 Port 24 | -楼 
10.10.8.6 Port 1/0/2 10.10.11.6 Port 25 | 二 楼 
10.10.8.6 Port 1/0/24 10.10.9.28 WEB 服务 器 























需求 : 采用 先进 的 网 络 管理 技术 对 线路 中 的 流量 进行 监控 和 管理 , 监控 实时 运行 状态 。 
管理 不 同 厂家 和 类 型 的 设备 ， 并 在 出 现 故 障 时 进行 告警 。 
分 析 : 使 用 PRTG 网 络 监测 软件 对 办 公 网 设备 和 线路 进行 监控 和 管理 。 
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8.2.4 流量 监控 知识 链接 


1. 网 络 带 宽 

网 络 带宽 是 指 网 络 设备 的 接口 或 线路 在 一 个 固定 的 时 间 内 (1s)， 能 通过 的 最 大 位 数据 ， 
通常 包括 出 数据 、 入 数据 的 速度 、 总 流量 。 网 络 带 宽 作 为 衡量 网 络 使 用 情况 的 一 个 重要 指 
标 ， 日 益 受 到 人 们 的 普遍 关注 。 它 不 仅 是 政府 或 单位 制定 网 络 通信 发 展 策略 的 重要 依据 ， 
也 是 互联 网 用 户 和 单位 选择 互联 网 接 入 服务 商 的 主要 因素 之 一 。 由 于 网 络 带宽 、 网 络 流量 
和 网 络 传输 速率 的 计算 方法 相同 ， 单 位 都 采用 bps(biys， 位 每 秒 ) 来 表示 ， 在 日 常生 活 中 ， 
将 网 络 带宽 与 网 络 流量 、 网 络 传输 速率 视 为 相同 。 

在 通信 领域 和 计算 机 领域 ， 应 特别 注意 计算 机 中 的 数量 单位 用 字 节 作 为 度量 单位 ， 
1 字 节 (Byte )=8 位 (bib。 同 时 数量 单位 “ 千 ”“ 兆 ”“ 吉 ”等 的 英文 缩写 所 代表 的 数值 。“ 千 
字 节 ”的 “ 千 ” 用 大 写 K 表示 ， 它 等 于 2”， 即 1024， 而 不 是 1000。 

在 实际 上 网 应 用 中 ， 下 载 软件 时 常常 看 到 诸如 下 载 速度 显示 为 128KB(KB/s)、256KB/s 
等 宽带 速率 大 小 字样 ， 因 为 ISP 提供 的 线路 带宽 使 用 的 单位 是 比特 (bit)， 而 一 般 下 载 软件 
显示 的 是 字 节 (1 字 节 =8 比特 )， 所 以 要 通过 换算 才能 得 到 实际 值 。 以 2M 带宽 为 例 ， 按照 下 
面 换算 公式 换算 : 

2Mb/s=2x1024Kb/s=2x1024K/8B/s=256KB/s 


2. PRTG 


PRTG(Paessler Router Traffic Grapher， 线 路 流量 监测 系统 ) 是 一 款 功能 强大 的 免费 且 可 
以 通过 路 由 器 、 交 换 机 等 设备 上 的 SNMP 取得 流量 信息 ， 并 产生 图 形 报 表 的 软件 。 可 以 产 
生 企业 内 部 网 络 相关 设备 ， 包 括 服务 器 、 路 由 器 、 交 换 机 、 网 络 终端 设备 等 多 种 设备 的 网 
络 流量 图 形 化 报表 ， 并 能 够 对 这 些 报 表 进 行 统计 和 绘制 ， 帮 助 网 络 管理 员 找 到 企业 网 络 的 
问题 所 在 ， 分 析 网 络 的 升级 方向 。 该 软件 可 以 在 绘制 完毕 后 将 图 形 图 表 以 网 页 的 形式 反馈 
出 来 ， 可 以 通过 网 络 中 的 任何 一 台 计 算 机 访问 配置 了 PRTG 的 计算 机 ， 以 实现 远程 管理 ， 
以 及 查看 和 维护 网 络 流量 的 目的 。 








8.2.5 流量 监控 任务 实施 


1. 实施 规划 


1D) “ 实 训 拓扑 结构 

根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 8-12 所 示 ， 以 swA 模拟 该 
企业 网 主 交换 机 ，WEB 服务 器 模拟 该 企业 网 络 服务 器 。 

2)” 实 训 设 备 

根据 任务 的 需求 和 实 训 拓扑 ， 每 实 训 小 组 的 实 训 设备 配置 清单 如 表 8-6 所 示 。 

3) ”参数 规划 

企业 办 公 网 需要 监控 的 主要 线路 参数 配置 如 表 8-7 所 示 。 
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SwA 
IP:10.10.8.6 








Web 服务 器 


swB IP: 10.10.8.28 


IP:10.10.10.6 


1=| 


SWwC 
IP:10.10.11.6 


IE|I 






PC1 pc2 


图 8-12 实 训 的 拓扑 结构 及 网 络 参数 
表 8-6 实 训 设备 配置 清单 


设备 类 型 
交换 机 
交换 机 
计算 机 
服务 器 
软件 
双 绞 线 





表 8-7 ”企业 办 公 网 主干 线路 表 


线路 类 型 | 发 起 端 设备 (IP) 对 端 设 备 (IP) 


10.10.8.6 Port 1/0/2 10.10.11.6 Port 1/0/1 二 楼 


10.10.8.6 Port1/0/24 10.10.8.28 


2. 实施 步 又 


Web 服务 器 





(1) 根据 实 训 拓 扑 图 进行 交换 机 、 计 算 机 等 网 络 设备 的 线 线 连接 ， 配置 PC、 服务 器 的 
IP 地址， 配置 交换 机 的 VLAN、JP、 路 由 等 参数 ， 连 通 整 个 网 络 ， 搭 建 好 实 训 环 境 ， 具 体 


配置 步骤 可 参考 第 5 章 。 


(2) 正确 配置 需要 监控 的 网 络 设备 的 SNMP 和 人 参数， 配置 步骤 参考 本 章 任务 1。 


(3) 安装 PRTG。 
从 PRTG 网 站 下 载 PRTG 软件 的 评估 版 本 ， 评 估 版 本 为 30 天 试 月 





http:/www.paessler.comy/prtg/download 。 














置 界面 会 有 所 不 同 。 


在 PCI1 或 PC2 上 运行 解压 缩 后 的 安装 程序 ， 进 入 安装 向 导 ， 如 图 8- 
单 击 Next 按钮 ， 进 入 下 一 对 话 框 ， 选 择 接受 安装 协议 。 








日 期 ， 下 载 站 点 为 


朋 | 说 明 : 本 任务 采用 的 PRTG 版 本 为 v6.0.5， 从 PRTG 网 站 下 载 的 最 新 版 本 的 安装 和 配 


13 所 示 。 


中 UL EE 


单 击 Next 按钮 ， 进 入 下 一 对 话 框 ， 选 择 安装 目录 和 组 件 。 
单 击 Next 按钮 ， 选 择 需 要 额外 安装 的 PRTG 任务 , 默认 PRTG 可 提供 Web 服务 访问 ， 
选择 防火 墙 允许 通过 Web 访问 和 安装 PRTG Watchdog 服务 ， 如 图 8-14 所 示 。 


BD Setup - PRTG Traffic Grapher (Conserciel Et 





Welcome to the PRTG Traffic Select Additional T: 





asks 
Grapher (Commercial Edition) Which additonal tasks should be perfommed? 
Setup Wizard 
This wil instal PRTG Tralfic Grapher [Commercial Ediion] on Eh et 
your compuler. 
Itis recommended that you close al other applications before ee 
en EE 
Cick Newt to conlinue, or Cancel to et Setup. © Disable network access [web interface only accessible on the local PC} 
FRTG Walkhdog Instalation 


Instal the PRTG Walchdog ;ervice frecommended 
Do notinstal the PRTG Walchdog senice 


[RN 











《Back Cancel 


图 8-13 安装 向 导 图 8-14 需要 额外 安装 的 PRTG 服务 
单 击 Next 按钮 ， 完 成 安装 ， 如 图 8-15 所 示 。 


单 击 Finish 按钮 ， 会 首次 启动 PRTG， 选 择 版 本 的 类 型 ， 免 费 测试 版 本 选择 默认 第 一 
项 ， 如 果 购 买 了 正式 版 本 选择 其 他 项 输入 产品 序列 号 ， 如 图 8-16 所 示 。 







Completing the PRTG Traffic 
Grapher (Commercial Edition) 
Setup Wizard 





人 Traffic Grapher This easytouse bandwidth and asset monitoing apnlicat 
for conputer networks is avalable n three edilons, pease choose he pe best ee 
6 Use the Freeware Edition] 
This edition ray be used for free ior personal or commercial use Itis limited lo moniloing 
‘ory pto! eee dove seneos are) Ra ene om ae Gao upon atup 
© Run A Free Trial Of The Commercial Edition 
Do you need more monioring power than the Fresware Editon ee ont The Trial Edition gves 
ycu Unlimited use tor 30 days so jou can lest whether ‘he commeicial edtiors ts 
he fo you. [Mere Eonefits of he Conmercisl Edition) 
30Dayslet | ] 


tup has finished inetaling PRTS Traffic Grapher (Comemercial 
Eenjon yor eampuier The applesion may be lanched by 
aacting thoinetalod io 


iek Finish to ex Selup, 


lat PFTG Tralie Gragher How 








© Purchase or Register a Commercial Edition 
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8-15 ”完成 安装 向 导 8-16 ”版 本 选择 

单 击 Next 按钮 后 单 击 Finish 按钮 完成 版 本 选择 。 

(4) 配置 PRTG。 

启动 PRTG 后 ， 单 击 Add Sensor 添加 一 个 扫描 器 ， 如 图 8-17 所 示 。 

在 出 现 的 监测 方式 中 选择 SNMP， 单 击 Next 按钮 ， 如 图 8-18 所 示 。 

在 SNMP 传感器 类 型 里 选择 Standard Traffic Sensor， 单 击 Next 按钮 ， 如 图 8-19 所 示 。 

在 设备 选择 窗口 中 对 要 监控 的 设备 参数 进行 设置 , 包括 device name 设备 名 、 设备 的 人 Pp 
地 址 或 域名 、SNMP 团体 名 称 、SNMP 端口 , 名 称 设 为 “中 心 交换 机 ”, IP 地 址 设 为 10.10.8.6， 
单 击 Next 按钮 ， 如 图 8-20 所 示 。 
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Add Sensor Wizard ln) 


Welcome to the Add Sensor Wizard 
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8-17 ”添加 一 个 扫描 器 





[add Sensor Wizard 
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8-18 选择 管理 协议 
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8-19 ”选择 标准 SNMP 扫描 器 
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| 
图 8-20 ”监控 的 设备 参数 


连接 成 功 后 会 出 现 选择 交换 机 端口 的 窗口 ， 从 port selection 窗口 中 的 上 方 可 以 看 到 已 
经 读 取出 目标 设备 的 SNMP 相关 信息 ， 查 看 到 目标 设备 的 IOS 信息 以 及 存在 的 端口 。 

下 拉 菜 单 中 可 以 设置 要 监控 的 信息 ， 包 括 带 宽 、 广 播 数据 包 和 非 广播 数据 包 ， 每 分 钟 
错误 信息 数 等 ， 显 示 出 目标 设备 连接 的 所 有 端口 ， 包 括 已 经 连接 设备 的 和 没有 连接 任何 网 
线 的 , 通过 connected 和 not connected 来 区 分 ,而 且 端 口 信息 和 速度 也 将 详细 显示 出 来 。 通 
过 选中 某 端口 来 指定 PRTG 要 监控 的 端口 ， 可 以 一 次 性 选择 多 个 端口 进行 监控 ， 如 图 8-21 
所 示 。 





Sensor Selection 
Please select the sensors to create 
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图 8-21 选择 监控 端口 
单 击 Next 按钮 保存 扫描 器 名 称 ， 设 置 扫描 间隔 。 


设置 扫描 器 生成 的 图 表 信息 ， 包 括 自动 建立 新 图 表 、 实 时 绘制 图 表 、 绘 制 5 分 钟 平均 
图 、1 小 时 平均 图 、1 天 平均 图 等 。 
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设置 完毕 后 返回 到 PRTG 的 监视 控制 台 ， 可 以 看 到 刚才 选择 的 设备 上 对 应 的 几 个 端口 
的 流量 信息 ， 每 个 端口 对 应 一 张 详细 流量 图 ， 横 坐标 是 对 应 的 时 间 ， 纵 坐标 是 数据 占用 的 
带宽 大 小 。 单 击 每 个 图 标 选择 详细 信息 可 以 看 到 更 清楚 的 统计 ， 输 出 数据 流量 总 和 与 输入 
数据 流量 总 和 都 有 具体 的 统计 和 显示 ， 详 细 到 每 5 分 钟 。 

继续 添加 监视 器 监控 其 他 设备 的 线路 ， 按 照 上 述 步 骤 再 添加 其 他 需要 监控 设备 的 监 








视 器 。 
在 PRTG 中 可 以 通过 其 自 带 的 页 面 发 布 工具 把 绘制 出 来 的 信息 以 网 页 的 形式 展现 ， 而 
显示 信息 也 是 实时 变化 的 ， 实 现 了 数据 的 同步 更 新 。 在 主 界面 右边 一 列 中 找到 configuring 
the web server， 启 动 Web Server 设置 窗口 配置 Web 发 布 参数 。 

通过 “http://IP 地 址 :端口 号 ”来 访问 PRTG 所 绘制 的 信息 图 ， 所 有 设置 好 的 扫描 器 监 
控 端 口 信息 都 会 显示 出 来 ， 根 据 项 目 需求 选择 相应 设备 和 线路 查看 线路 流量 。 


1. 设备 验收 

根据 实 训 拓扑 结构 图 ， 查 看 交换 机 、 服 务 器 等 设备 的 连接 情况 ， 确 认 各 设备 连通 。 
2. 配置 验收 

在 安装 了 PRTG 软件 的 计算 机 上 查看 配置 情况 ， 检 查 各 项 监控 目标 是 否 正 常 。 

3. 功能 验收 


在 PRTG 上 查看 添加 的 交换 机 接口 的 流量 记录 。 以 Port 1/0/1、Port 1/0/24 为 例 ， 如 
图 8-22 和 图 8-23 所 示 。 
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8-22 ”端口 1 流量 图 
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8-23 ”端口 24 流量 图 


8.2.7 ”流量 监控 任务 总 结 


针对 企业 网 线路 流量 监测 的 建设 内 容 和 目标 , 通过 需求 分 析 进 行 了 实 训 的 规划 和 实施 ， 
本 任务 进行 了 各 主要 监控 设备 的 配置 和 验收 。 通 过 安装 和 配置 PRTG 软件 对 网 络 的 网 络 设 
备 、 端 口 进行 流量 监测 ， 保 障 网 络 的 正常 运行 和 性 能 优化 。 








第 9 章 企业 网 远程 管理 


教学 目标 

通过 对 校园 网 、 企 业 网 等 网 络 进行 网 络 远程 管理 的 各 种 案例 ， 以 各 实 训 任务 的 内 容 和 
需求 为 背景 ， 以 完成 企业 网 的 各 种 网 络 远程 管理 技术 为 实 训 目 标 ， 通 过 任务 方式 由 浅 入 深 
地 模拟 网 络 远程 管理 技术 的 典型 应 用 和 实施 过 程 ， 以 帮助 学 生理 解 网 络 远程 管理 技术 的 典 
型 应 用 ， 具 备 企 业 网 远程 管理 的 实施 和 灵活 应 用 能 力 。 


教学 要 求 
任务 要 点 能 力 要 求 关联 知识 
GD 掌握 交换 机 基础 配置 i 
(2) 掌 握 Telnet 的 基本 概念 
3) 党 握 Telnet 的 基本 原理 OTehhet 的 实现 斩 理 
企业 网 设备 远程 管理 人 G)H3C Telnet 的 三 种 验证 模式 
(4) 掌 握 Telnet 的 三 种 验证 模式 a 
Telnet i (4)H3C 网 络 设备 用 户 等 级 
(5) 掌 握 网 络 设备 Telnet 配置 
6) 掌 握 H3C 用 户 等 级 合 交 次 机 寺中 本 是 
( . (O) 交 换 机 Telnet 配置 
CD 掌握 SSH 的 基本 概念 Oe ee 
企业 网 设备 远程 管理 SSH | 2) 掌握 SSH 的 基本 原理 交换 机 基本 本 
G) 掌 握 网 络 设备 SSH 配置 ) 交 次 机 基本 本 和 
(4) 交 换 机 SSH 配置 


(1) 掌 握 服 务 器 远程 管理 的 基本 概念 

(2) 掌 握 Windows 系列 操作 系统 远程 
企业 网 服务 器 远程 管理 桌面 

(3) 掌 握 Radmin 远程 管理 软件 安装 、 配 


(1)Windows 系列 操作 系统 远程 
桌面 

(2)Radmin 远程 管理 软件 安装 、 配 
置 及 使 用 











置 及 使 用 
(DD) 交换 机 基础 及 配置 命令 
(]) 掌 握 交 换 机 基础 配置 (2)AAA 基本 概念 及 架构 体系 
(2) 掌 握 交 换 机 Telnet 基础 配置 (3)Radius 基本 概念 及 架构 体系 
公司 网 AAA 体系 部 署 。 | (3 学 所 交换 机 Radius 基础 配置 (交换 机 Telnet 基础 及 配置 命令 
(4) 掌 握 Radius 服务 器 安装 部 署 方法 (5) 交 换 机 Radius 基础 及 配置 命令 
(6)Radius 服务 器 安装 部 署 
重点 难点 
Telnet 基本 概念 及 原理 。 


@ 交换 机 Telnet 配置 。 
e@  H3C Telnet 三 种 验证 模式 。 
e。 H3C 网 络 设备 用 户 等 级 。 
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SSH 的 基本 概念 及 原理 。 

交换 机 SSH 配置 。 

远程 桌面 、Radmin 远程 管理 软件 。 
AAA 的 基本 概念 及 架构 体系 。 
Radius 的 基本 概念 及 架构 体系 。 
交换 机 Radius 配置 。 

Radius 服务 器 安装 部 署 。 


9.1 任务 1: 企业 网 设备 远程 管理 Telnet 


9.1.1 Telnet 任务 描述 


某 公司 构建 了 自己 大 型 的 企业 内 部 网 ， 公 司 网 中 分 布 了 大 量 网 络 设备 : 交换 机 、 路 由 
器 等 。 根 据 公 司 的 统一 管理 和 规范 要 求 ， 要 求 公司 网 络 技术 人 员 在 自己 的 办 公 场 所 实现 对 
网 络 设备 的 远程 管理 ， 以 便 提 高 工作 效率 ， 降 低 管理 难度 和 复杂 度 ， 请 给 出 解决 方法 














9.1.2 Telnet 任务 目标 与 目的 


1. 任务 目标 

本 项 目 针 对 公司 的 企业 内 部 网 的 网 络 设备 进行 远程 管理 ， 以 便 执行 日 常 检查 、 故 障 排 
除 、 配 置 等 操作 和 管理 。 

2. 任务 目的 

通过 本 任务 进行 远程 管理 ,利用 常用 的 远程 管理 协议 一 一 Telnet 实现 对 网 络 设备 的 远程 
管理 ， 以 帮助 读者 了 解 网 络 设备 常用 的 远程 管理 方法 ， 熟 练 掌握 远程 管理 协议 ， 并 能 灵活 
运用 。 


9.1.3 Telnet 任务 需求 与 分 析 
1. 任务 需求 
经 调查 ， 分 公司 需要 管理 的 服务 器 数据 如 表 9-1 所 示 。 


表 9-1 远程 需要 管理 的 设备 信息 


服务 器 类 型 IP 地 址 远程 管理 协议 类 型 
核心 交换 机 192.168.5.254 Telnet 
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2. 需求 分 析 

需求 1: 对 交换 机 、 路 由 器 进行 远程 管理 ， 便 于 远程 操作 和 控制 网 络 设备 。 

分 析 1: 通过 对 交换 机 、 路 由 器 配置 Telnet 远程 网 络 管理 协议 ， 使 用 Telnet 远程 管理 
协议 对 网 络 设备 进行 远程 管理 。 使 网 络 管理 员 在 自己 的 办 公 室 计算 机 上 即 可 远程 管理 、 配 
置 网 络 中 的 网 络 设备 ， 从 而 大 大 提高 管理 效率 ， 降 低 管理 难度 。 


9.1.4 Telnet 知识 链接 


1. Telnet 


1) ”Telnet 的 定义 

Telnet 协议 是 TCP/IP 协议 族 中 的 一 员 ， 是 Internet 远程 登录 服务 的 标准 协议 和 主要 方 
式 。 它 为 用 户 提 供 了 在 本 地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 终端 使 用 者 的 计算 机 上 
使 用 telnet 程序 ， 用 它 连 接 到 服务 器 。 终 端 使 用 者 可 以 在 telnet 程序 中 输入 命令 ,这 些 命令 
会 在 服务 器 上 运行 , 就 像 直 接 在 服务 器 的 控制 台 上 输入 一 样 ， 可 以 在 本 地 就 能 控制 服务 器 。 
要 开始 一 个 telnet 会 话 ， 必 须 输入 用 户 名 和 密码 来 登录 服务 器 。Telnet 是 常用 的 远程 控制 
Web 服务 器 的 方法 。 

2) Tenet 的 功能 

Telnet 最 初 由 ARPANET 开发 ,现在 主要 用 于 Intemet 会 话 ， 它 的 基本 功能 是 允许 用 户 
登录 进入 远程 主机 系统 。 

Telnet 可 以 让 我 们 坐 在 自己 的 计算 机 前 通过 Intemet 网 络 登录 到 另 一 台 远程 计算 机 上 ， 
这 台 计 算 机 可 以 是 在 隔壁 的 房间 里 ， 也 可 以 是 在 地 球 的 另 一 端 。 当 登录 上 远程 计算 机 后 ， 
本 地 计算 机 就 等 同 于 远程 计算 机 的 一 个 终端 ， 我 们 可 以 用 自己 的 计算 机 直接 操纵 远程 计算 
机 ， 享 受 远程 计算 机 本 地 终端 同样 的 操作 权限 。 

Telnet 的 主要 用 途 就 是 使 用 远程 计算 机 上 所 拥有 的 本 地 计算 机 没有 的 信息 资源 ， 如 果 
远程 的 主要 目的 是 在 本 地 计算 机 与 远程 计算 机 之 间 传 递 文件 ， 那 么 相 比 而 言 使 用 FTP 会 更 
加 快捷 有 效 。 

3) ”Telnet 的 原理 

当 我 们 使 用 Telnet 登录 进入 远程 计算 机 系统 时 , 事实 上 启动 了 两 个 程序 : 一 个 是 Telnet 
客户 程序 ， 运 行 在 本 地 主机 上 ; 另 一 个 是 Telnet 服务 器 程序 ， 它 运行 在 要 登录 的 远程 计算 
机 上 。 本 地 主机 上 的 Telnet 客户 程序 主要 完成 以 下 功能 。 

(1) 建立 与 远程 服务 器 的 TCP 连接 。 

(2) 接收 从 键盘 输入 的 本 地 字符 。 

(3) 将 输入 的 字符 串 变 成 标准 格式 并 传送 给 远程 服务 器 。 

(4) 从 远程 服务 器 接收 输出 的 信息 。 

(5) 将 该 信息 显示 在 本 地 主机 屏幕 上 。 

远程 主机 的 “服务 ”程序 通常 被 昵称 为 “精灵 ” 它 平 时 不 声 不 响 地 守候 在 远程 主机 上 ， 
一 接 到 本 地 主机 的 请 求 ， 就 会 立马 活跃 起 来 ， 并 完成 以 下 功能 。 

(1) 通知 本 地 主机 ， 远 程 主机 已 经 准备 好 了 。 
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(2) 等 候 本 地 主机 输入 命令 。 

(3) 对 本 地 主机 的 命令 做 出 反应 (如 显示 目录 内 容 ， 或 执行 某 个 程序 等 )。 
(4) 把 执行 命令 的 结果 送 回 本 地 计算 机 显示 。 

(5) 重新 等 候 本 地 主机 的 命令 。 

Telnet 协议 的 交互 过 程 如 图 9-1 所 示 。 















Telnet 服务 器 界面 
服务 进程 Shell 
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9-1 Telnet 协议 的 交互 过 程 


4) ”Telnet 的 缺点 

虽然 Telnet 较为 简单 实用 也 很 方便 ， 但 是 在 格外 注重 安全 的 现代 网 络 技术 中 ，Telnet 
并 不 被 重用 。 原 因 在 于 Telnet 是 一 个 明文 传送 协议 ， 它 将 用 户 的 所 有 内 容 ， 包 括 用 户 名 和 
密码 都 明文 在 互联 网 上 传送 , 具有 一 定 的 安全 隐患 ， 因 此 许多 服务 器 都 会 禁用 Telnet 服务 。 
如 果 我 们 要 使 用 Telnet 的 远程 登录 ， 使 用 前 应 在 远 端 服务 器 上 检查 并 设置 允许 Telnet 服务 
的 功能 

5) ”H3C 网 络 设备 Telnet 验证 模式 

H3C 网 络 设备 的 telnet 有 三 种 验证 模式 。 

(1) none 模式 。 即 空 验证 模式 ， 当 用 户 登 录 时 ， 不 需要 用 户 名 和 密码 ， 安 全 性 较 差 ， 
一 般 不 采用 。 

(2) password 模式 。 即 密码 模式 ， 用 户 远程 telnet 时 需要 提供 口令 ， 安 全 性 有 所 提升 ， 
但 安全 性 也 较 低 ， 一 般 也 不 采用 。 

(3) scheme 模式 。 即 账户 、 密 码 验 证 模式 ， 当 用 户 远程 登录 网 络 设备 时 ， 既 要 提供 用 
户 名 ， 也 要 提供 用 户 名 ， 与 之 对 应 的 口令 ， 安 全 性 较 高 。 

在 现实 应 用 中 ， 配 置 Telnet 时 ， 一 般 采 用 scheme 模式 。 

6) ”H3C 用 户 等 级 

为 了 限制 不 同 用 户 对 设备 的 访问 权限 ， 防 止 非法 更 改 配置 ，Comware 5 系统 也 对 用 户 
进行 了 分 级 管理 。 用 户 的 级 别 与 命令 级 别 一 一 对 应 ， 不 同 级 别 的 用 户 登录 后 ， 只 能 使 用 等 
于 或 低 于 自己 级 别 的 命令 。 如 用 户 属 于 1 级 别 ， 则 所 使 用 的 命令 也 仅 限 于 1 级 别 命令 级 别 
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中 的 命令 。 反 之 亦 然 。 


在 H3C Comware 系统 中 , 命令 级 别 由 低 到 高 共 分 为 访问 级 、 监 控 级 、 系 统 级 和 管理 级 
四 个 级 别 ， 级 别 号 分 别 为 0、1、2、3 级 。H3C 网 络 设备 用 户 等 级 如 表 9-2 所 示 。 


表 9-2 H3C 网 络 设备 用 户 等 级 
























































命令 级 别 说 明 
该 命令 级 别 是 包括 用 于 网 络 诊断 等 功能 的 命令 ， 以 及 从 本 设备 访问 外 部 设备 的 命令 。 该 
访问 级 (0) | 级 别 的 命令 配置 后 不 允许 保存 ， 设 备 重启 后 ， 该 级 别 命令 会 恢复 到 默认 状态 。 在 默认 情 
况 下 ， 访 问 级 的 命令 包括 ping、tracert、telnet、ssh2 等 
该 级 别 的 使 用 是 包括 用 于 系统 维护 、 业 务 故障 诊断 等 功能 的 命令 。 该 级 别 命令 配置 后 不 
监控 级 (1) | 允许 保存 ， 设 备 重启 后 ， 该 级 别 命令 会 恢复 到 默认 状态 。 在 默认 情况 下 ， 监 控 级 的 命令 
包括 debugging、terminal、refresh、reset、send 等 
系统 级 (2) 该 级 别 的 命令 包括 业务 配置 命令 ， 如 路 由 、 各 个 网 络 层次 的 命令 。 这 些 命令 用 于 向 用 户 
提供 直接 网 络 服务 。 默 认 情况 下 ， 系 统 级 的 命令 包括 所 有 配置 命令 (管理 级 的 命令 除外 ) 
该 级 别 包括 系统 的 基本 运行 、 系 统 支撑 模块 功能 的 命令 , 这 些 命令 对 业务 提供 支撑 作用 。 
管理 级 G) 在 默认 情况 下 ， 管 理 级 的 命令 包括 文件 系统 命令 、FTP 命令 、TFTP 命令 、XModem 命 
令 下 载 、 用 户 管 理 命令 、 级 别 设置 命令 、 系 统 内 部 参数 设置 命令 ( 非 协议 规定 、 非 RFC 
规定 ) 等 
2. 配置 命令 


H3C 系列 和 Cisco 系列 交换 机 上 配置 Telnet 的 相关 命令 如 表 9-3 所 示 。 


表 9-3 Telnet 配置 命令 




















功 能 H3C 系列 设备 Cisco 系列 设备 
配置 视图 配置 模式 基本 命令 
> 到 人 [H3Clinterface 全 局 配 Cisco(contfig)#interface 
直入 Wen1 拉 中 罗 | 天 | ce 
[H3C-Vlan-interfacel] 具体 配 Cisco(config-if)#ip address 
配置 管理 人 P 地址 具体 视图 | ip address 置 模式 192.168.10.254 
192.168.10.254 24 255.255.255.0 
使 能 Telnet 功能 。 | 系统 视图 
配置 VIY 视图 系统 视图 | Wy De Cisco(config)Hline vty 04 
s Cisco(config-line)#login 
允许 本 地 用 户 登 录 local 
[FBC-ui-vty0-4] 
设置 验证 模式 具体 视图 | authentication-mode 
Scheme 
Cisco(config)#username 
创建 账户 系统 视图 | Dlocatuser zhangsan privilege 15 
angsan 
password 123 
， [H3C-luser-zhangsan] Cisco(config)#enable 
设置 账户 口令 具体 视图 password cipher 123 password 123 
设置 账户 类 型 为 [H3C-luser-zhangsan] 
Ta RH 
[H3C-luser-zhangsan] 
设置 账户 等 级 具体 视图 | authorization-attribute 





level 3 
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9.1.5 Telnet 任务 实施 


1. 实施 规划 


ID) “ 实 训 拓扑 结构 
根据 需求 ， 规 划 企业 网 网 络 设备 远程 管理 的 参数 如 表 9-4 所 示 。 


表 9-4 企业 网 网 络 设备 远程 管理 的 参数 


计算 机 IP 地 址 远程 管理 方式 
核心 交换 机 192.168.10.254 Telnet 


根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 9-2 所 示 ， 以 Swl 模拟 该 企 
业 网 核心 交换 机 ， 验 证 机 PC1 模拟 该 企业 网 络 管理 员 计算 机 。 





Swl 
IP:192.168.10.2S4 


EA ls| 
Consle 口 一 -| 


配置 机 


验证 机 PC1 
IP: 192.168.10.1 


图 9-2 Telnet 实 训 的 拓扑 结构 及 网 络 参数 


2)” 实 训 设 备 
根据 任务 的 需求 和 实 训 拓扑 ， 每 实 训 小 组 的 实 训 设备 配置 清单 如 表 9-5 所 示 。 


表 9-5 实 训 设备 配置 清单 


























设备 类 型 设备 型 号 

交换 机 H3C 3600( 含 配置 线 ) 器 
计算 机 PC，Windows XP 
双 绞 线 RJ-45 - 





3) ”IP 地 址 规划 





根据 实 训 需 求 ， 实 训 环 境 相关 设备 人 P 地 址 规划 如 表 9-6 所 示 。 
表 9-6 “IP 地 址 规划 










设备 类 型 设备 名 称 /型 号 
计算 机 | 验证 机 PC1 
交换 机 


IP 地 址 









192.168.10.1/24 
192.168.10.254/24 
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2. 实施 步骤 
任务 的 实施 步骤 如 下 。 

(1) 根据 实 训 拓 扑 图 进行 交换 机 、 计 算 机 等 网 络 设备 的 线 缆 连 接 , 配置 PC 的 卫 地址， 
搭建 好 实 训 环境 。 

(2) 配置 交换 机 Telnet 功能 。 

在 配置 机 上 ， 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ”组 件 程序 ， 通 过 串口 连接 
到 交换 机 的 配置 界面 , 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 
8、 奇 偶 校 验 无 、 数 据 流 控 制 无 )。 
在 swl 上 进行 Telnet 功能 配置 ， 主 要 配置 清单 如 下 。 
一 、 初 始 化 配置 


<H3C>system-view 











[H3C]sysname swl 
[swljinterface Vlan-interface 1 
[swl-Vlan-interfacel]ip address 192.168.10.254 24 
二 、Telnet 配置 
1. 使 能 telnet 功能 
[swl-Vlan-interfacel]quit 
[swl jtelnet server enable 
2. 进入 VTY 视图 
[swljuser-interface vty 04 
3. 设置 验证 模式 
[swl-ui-vty0-4]authentication-mode scheme 
4. Telnet 账户 配置 
(1) 创 建 账户 : 
[swl-ui-vty0-4]quit 
[swl]local-user zhangsan // 创 建 本 地 账户 zhangsan 
(2) 配 置 账户 口令 : 
[swl-luser-zhangsanlpassword cipher 123 
(3) 将 账户 类 型 从 本 地 账户 改 为 telnet 账户 : 
[swl-luser-zhangsan]service-type telnet 
(4) 更 改 用 户 等 级 : 


[swl-luser-zhangsanlauthorization-attribute level 3 








9.1.6 Telnet 任务 验收 


1. 设备 验收 
根据 实 训 拓扑 图 检查 验收 交换 机 、 计 算 机 的 线 缆 连 接 ， 检 查 PC1 的 他 地 址 。 
2. 功能 验收 


在 PC1 上 运行 cmd 命令 , 打开 命令 提示 符 , 在 命令 提示 符 里 输入 telnet 192.168.10.254， 
即 打 开 远 程 登录 交换 机 的 连接 ， 如 图 9-3 所 示 。 
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图 9-3 远程 Telnet 交换 机 





在 随后 弹出 的 对 话 框 中 ， 输 入 Telnet 的 账户 信息 及 密码 ， 按 Enter 键 ， 即 可 远程 登录 
交换 机 ， 如 图 9-4 所 示 。 在 此 界面 中 ， 即 可 完成 对 交换 机 的 相关 配置 。 


.100 











图 9-4 远程 登录 交换 机 的 效果 


9.1.7 Telnet 任务 总 结 
针对 企业 网 网 络 设备 远程 管理 (Telnet) 的 建设 内 容 和 目标 ， 通 过 需求 分 析 进 行 了 实 训 的 


规划 和 实施 ， 通过 本 任务 过 了 远程 管理 的 配置 和 验收 ， 达 到 了 通过 运用 Telnet 远程 管理 
协议 对 网 络 设备 进行 远程 管理 、 提 高 网 络 管理 效率 的 目的 。 


9.2 任务 2: 企业 网 设备 远程 管理 SSH 


9.2.1 SSH 任务 描述 


公司 构建 了 自己 大 型 的 企业 内 部 网 ， 公 司 网 中 分 布 了 大 量 网 络 设备 : 交换机、 路 由 
器 等 。 为 了 提高 网 络 管理 员 管 理 效率 和 降低 管理 难度 ， 在 建 网 之 初 ， 采 用 Telnet 技术 达到 
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管理 目的 。 但 随 着 业务 的 不 断 发 展 ， 企 业 网 面临 越 来 越 多 的 威胁 ， 原 有 的 Telnet 技术 已 经 
不 符合 安全 性 要 求 。 为 此 ， 需 要 为 该 企业 提供 一 种 安全 高 效 的 管理 手段 。 请 给 出 解决 方法 
并 实施 。 





9.2.2 SSH 任务 目标 与 目的 


1. 任务 目标 


本 项 目 针 对 公司 的 企业 内 部 网 的 网 络 设备 进行 安全 的 远程 管理 ， 以 便 执 行 日 常 检 查 、 
故障 排除 、 配 置 等 操作 和 管理 ， 并 为 网 络 管理 提供 一 定 的 安全 保障 。 


2. 任务 目的 


通过 本 任务 进行 安全 的 远程 管理 ， 利 用 常用 的 远程 管理 协议 一 一 SSH 实现 对 网 络 设备 
的 远程 管理 ， 并 提供 较 高 的 安全 性 ， 以 帮助 读者 了 解 网 络 设备 常用 的 远程 管理 方法 ， 熟 练 
掌握 远程 管理 协议 ， 并 能 灵活 运用 。 


9.2.3 SSH 任务 需求 与 分 析 
1. 任务 需求 
经 调查 ， 分 公司 远程 需要 管理 的 核心 交换 机 数据 如 表 9-7 表 所 示 。 
表 9-7 远程 需要 管理 的 核心 交换 机 数据 


服务 器 类 型 远程 管理 协议 类 型 
核心 交换 机 SSH 
2. 需求 分 析 


需求 1: 对 交换 机 、 路 由 器 进行 远程 管理 ， 便 于 远程 操作 和 控制 网 络 设备 ， 并 提供 较 
高 的 安全 性 以 保证 网 络 安全 。 

分 析 2: 通过 对 交换 机 、 路 由 器 配置 SSH 等 网 络 管理 协议 ， 使 用 SSH 等 远程 管理 协议 
对 网 络 设备 进行 远程 管理 。 使 网 络 管理 员 在 自己 的 办 公 室 计 算 机 上 即 可 远程 管理 、 配 置 网 
络 中 的 网 络 设备 ， 大 大 提高 管理 效率 ， 降 低 管 理 难度 ， 并 提供 较 高 的 安全 性 手段 ， 以 保证 
网 络 设备 安全 。 


9.2.4 SSH 知识 链接 


1. SSH 

1) SSH 的 定义 

SSH(Secure Shel)， 由 IETF 的 网 络 小 组 (Network Working Group) 所 制定 : SSH 为 建立 
在 应 用 层 基础 上 的 安全 协议 。SSH 是 目前 较 可 靠 、 专 为 远程 登录 会 话 和 其 他 网 络 服务 提供 
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安全 性 的 协议 。 利 用 SSH 协议 可 以 有 效 防止 远程 管理 过 程 中 的 信息 泄露 问题 。SSH 最 初 
是 UNIX 系统 上 的 一 个 程序 ， 后 来 又 迅速 扩展 到 其 他 操作 平台 。SSH 在 正确 使 用 时 可 弥补 
网 络 中 的 漏洞 。SSH 客户 端 适 用 于 多 种 平台 。 几 乎 所 有 UNIX 平台 ， 包 括 HP-UX、Linux、 
AIX、Solaris、Digital UNIX、Irix， 以 及 其 他 平台 ， 都 可 以 运行 SSH。 

2) SSH 的 功能 

传统 的 网 络 服务 程序 ， 如 ftp、pop 和 telnet 在 本 质 上 都 是 不 安全 的 ， 因 为 它们 在 网 络 
上 用 明文 传送 口令 和 数据 ， 别 有 用 心 的 人 非常 容易 就 可 以 截获 这 些 口 令 和 数据 。 而 且 ， 这 
些 服务 程序 的 安全 验证 方式 也 是 有 其 弱点 的 , 就 是 很 容易 受到 “中 间 人 ”(man-in-the-middle) 
这 种 方式 的 攻击 。 所 谓 “ 中 间 人 ”的 攻击 方式 ， 就 是 “中 间 人 ”冒充 真正 的 服务 器 接收 你 
传 给 服务 器 的 数据 ， 然 后 再 冒充 某 用 户 把 数据 传 给 真正 的 服务 器 。 服 务 器 和 某 用 户 之 间 的 
数据 传送 被 “中 间 人 ”一 转手 做 了 手脚 之 后 ， 就 会 出 现 很 严重 的 问题 。 通 过 使 用 SSH， 某 
用 户 可 以 把 所 有 传输 的 数据 进行 加 密 ， 这 样 “ 中 间 人 ”这 种 攻击 方式 就 不 可 能 实现 了 ， 而 
且 也 能 够 防止 DNS 欺骗 和 IP 欺骗 。 使 用 SSH， 还 有 一 个 额外 的 好 处 就 是 传输 的 数据 是 经 
过 压缩 的 ， 所 以 可 以 加 快 传输 的 速度 。SSH 有 很 多 功能 ， 它 既 可 以 代替 Telnet， 又 可 以 为 
FTP、PoP、 甚 至 为 PPP 提供 一 个 安全 的 “通道 ”。 

3) SSH 的 原理 

SSH 在 整个 通信 过 程 中 为 了 实现 安全 连接 , 服务 器 端 与 客户 端 需要 经 历 如 下 五 个 阶段 。 

(1) 阶段 1: 版 本 协商 阶段 。 

@ 服务 器 打开 端口 22， 等 待 客 户 端 连接 。 

@ 客户 端 向 服务 器 端 发 起 TCP 初始 连接 请 求 。 

@@，TCP 连接 建立 后 ， 服 务 器 向 客户 端 发 送 第 一 个 报 文 ， 包 括 版 本 标志 字符 串 ， 格 式 
为 “SSH-< 主 协议 版 本 号 >.< 次 协议 版 本 号 >-< 软 件 版 本 号 >”， 协 议 版 本 号 由 主 版 本 号 和 次 
版 本 号 组 成 ， 软 件 版 本 号 主要 是 为 调试 使 用 。 

@ 客户 端 收 到 报 文 后 ,首先 解析 该 数据 包 ，, 通过 与 服务 器 端的 协议 版 本 号 进行 对 比 ， 
决定 要 使 用 的 协议 版 本 号 。 如 果 服 务 器 端的 协议 版 本 号 比 自己 的 低 ， 且 客户 端 能 支持 服务 
器 端的 低 版 本 ， 就 使 用 服务 器 端的 低 版 本 协议 号 ， 否 则 使 用 自己 的 协议 版 本 号 。 

回 ”客户 端 回应 服务 器 一 个 报 文 ， 包 含 了 客户 端 决定 使 用 的 协议 版 本 号 。 

@ 服务 器 比较 客户 端 发 来 的 版 本 号 ， 如 果 服 务 器 支持 该 版 本 ， 则 使 用 该 版 本 ， 并 进 
入 密 钥 和 算法 协商 阶段 ， 否则， 版 本 协商 失败 ， 服 务 器 端 断 开 TCP 连接 。 

(2) 阶段 2， 密 钥 和 算法 协商 阶段 。 

@ 服务 器 端 和 客户 端 分 别 发 送 算法 协商 报 文 给 对 端 ， 报 文中 包含 自己 支持 的 公 钥 算 
法 列表 、 加 密 算法 列表 、MAC(Message Authentication Code， 消 息 验 证 码 ) 算 法 列表 、 压 缩 
算法 列表 等 。 

@ ”服务 器 端 和 客户 端 根 据 对 端 和 本 端 支持 的 算法 列表 得 出 最 终 使 用 的 算法 。 任 何 一 
种 算法 协商 失败 ， 都 会 导致 服务 器 端 和 客户 端的 算法 协商 过 程 失 败 ， 服 务 器 将 断 开 与 客户 
端的 连接 。 

@ 服务 器 端 和 客户 端 利用 DH 交换 (Diffie-Hellman Exchange) 算 法 、 主 机 密 钥 对 等 参 
数 ， 生 成 会 话 密 钥 和 会 话 ID， 并 完成 客户 端 对 服务 器 身份 的 验证 。 

通过 以 上 步 又， 服务 器 端 和 客户 端 就 取得 了 相同 的 会 话 密 钥 和 会 话 ID。 对 于 后 续 传输 
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的 数据 ， 两 端 都 会 使 用 会 话 密 钥 进行 加 密 和 解密 ,保证 了 数据 传送 的 安全 。 会 话 ID 用 来 标 
识 一 个 SSH 连接 ， 在 认证 阶段 ， 会 话 ID 还 会 用 于 两 端的 认证 。 

(3) 阶段 3: 认证 阶段 。 

@ SSH 提供 以 下 两 种 认证 方法 。 

第 一 种 ，password 认证 。 

利用 AAA(Authentication、Authorization、Accounting， 认 证 、 授 权 和 计 费 ) 对 客户 端 身 
份 进行 认证 。 

第 二 种 ，publickey 认证 。 

采用 数字 签名 的 方法 来 认证 客户 端 。 目前， 可 以 利用 RSA 和 DSA 两 种 公 钥 算法 实现 
数字 签名 。 

@ 认证 阶段 的 具体 步骤 如 下 。 

a. 客户 端 向 服务 器 端 发 送 认 证 请 求 , 认证 请 求 中 包含 用 户 名 、 认 证 方法 (password 认证 
或 publickey 认证 )、 与 该 认证 方法 相关 的 内 容 (如 password 认证 时 ， 内 容 为 密码 )。 

b. 服务 器 端 对 客户 端 进行 认证 ， 如 果 认 证 失败 ， 则 向 客户 端 发 送 认证 失败 消息 ， 其 中 
包含 可 以 再 次 认证 的 方法 列表 。 

c. 客户 端 从 认证 方法 列表 中 选取 一 种 认证 方法 再 次 进行 认证 。 

d. 该 过 程 反复 进行 ， 直 到 认证 成 功 或 者 认证 次 数 达 到 上 限 ， 服 务 器 关闭 连接 为 止 。 

(4) 阶段 4: 会 话 请 求 阶段 。 

@ 认证 通过 后 ， 客 户 端 向 服务 器 发 送 会 话 请 求 。 

@ 服务 器 等 待 并 处 理 客户 端的 请 求 。 

@ 在 这 个 阶段 ， 请 求 被 成 功 处 理 后 ， 服 务 器 会 向 客户 端 回应 SSH_SMSG_SUCCESS 
包 ，SSH。 

@ ”进入 交互 会 话 阶段 ;否则 回应 SSH_SMSG _ FAILURE 包 ， 表 示 服 务 器 处 理 请 求 失 
败 或 者 不 能 识别 请 求 。 

(5) 阶段 5: 交互 会 话 阶段 。 

会 话 请 求 成 功 后 ， 连 接 进入 交互 会 话 阶段 。 在 这 个 阶段 ， 数 据 被 双向 传送 。 客 户 端 将 
要 执行 的 命令 加 密 后 传 给 服务 器 ， 服 务 器 接收 到 报 文 ， 解 密 后 执行 该 命令 ， 将 执行 的 结果 
加 密 发 还 给 客户 端 ， 客 户 端 将 接收 到 的 结果 解密 后 显示 到 终端 上 。 

2. 配置 命令 


H3C 系列 和 Cisco 系列 交换 机 上 配置 SSH 的 相关 命令 如 表 9-8 所 示 。 














表 9-8 SSH 配置 命令 











H3C 系列 设备 Cisco 系列 设备 






















功 能 。 | 就 秆 视 画 基本 命令 配置 模式 ] 基本 命令 
修改 设备 名 称 系统 视图 | [H3C]Sysname xxx Cisco(config)#Hostname XXX 






Cisco(config-if)#ip address 
192.168.10.254 
255.255.255.0 


配置 管理 他 地 址 


[H3C-Vlan-interfacellip 具体 配 
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续 表 
功能 H3C 系列 设备 Cisco 系列 设备 
区 配置 视图 基本 命令 基本 命令 
进入 vlan 1 接口 人 [H3Clinterface Cisco(config)#interface 
视图 系统 视图 Vlan-interface 1 R vlanl 
使 能 ssh 功能 系统 视图 | [H3C]ssh server enable 





[H3C]H3Cluser-interface 
vty 04 
设置 验证 模式 。 | 具体 视图 | SCVy04huthentication- 


mode scheme 


配置 vty 视图 系统 视图 Cisco(config)#line vty 04 





Cisco(config)#username 
zhangsan privilege 15 


[H3C]local-user 


创建 账户 系统 视图 


zhangsan password 123 
设置 账户 口令 具体 视图 [FBC luser zhongsanlpassword eoloonne Nenanle 

cipher 123 i: password 123 
设置 账户 类 型 为 具体 视图 H3C-Iuser-zhangsanjservice- 


ssh ype _ssh 


9 焉 户 签约 -x [H3C-luser-zhangsan] 
se 具体 宫 国 | in snibuielevl3 











9.2.5 SSH 任务 实施 


1. 实施 规划 
1)” 实 训 拓 扑 结 构 
根据 需求 ， 规 划 远 程 管理 的 参数 ， 如 表 9-9 所 示 。 
表 9-9 企业 网 网 络 设备 远程 管理 的 参数 


计算 机 远程 管理 方式 
核心 交换 机 ssH 


根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 9-5 所 示 ， 以 Sw1l 模拟 该 企 
业 网 核心 交换 机 ， 验 证 机 PC1 模拟 该 企业 网 络 管理 员 计 算 机 。 


IP:192.168.10.254 


LR Consle 口 


配置 机 


区 


验证 机 PC1 
IP: 192.168.10.1 


9-5 ”SSH 实 训 的 拓扑 结构 及 网 络 参数 
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2)” 实 训 设 备 











根据 任务 的 需求 和 实 训 拓扑 ， 每 实 训 小 组 的 实 训 设备 配置 清单 如 表 9-10 所 示 。 
表 9-10” 实 训 设 备 配 置 清单 








设备 类 型 数量 
交换 机 H3C 3600( 含 配置 线 ) 
配置 机 PC，Windows 7， 提 供 串 口 
证 机 


3) ”IP 地 址 规划 
根据 实 训 需求 ， 实 训 环境 相关 设备 IP 地 址 规划 如 表 9-11 所 示 。 


表 9-11 IP 地 址 规划 


设备 类 型 设备 名 称 /型 号 


验证 机 PC1 192.168.10.1/24 
192.168.10.254/24 





2. 实施 步骤 

任务 的 实施 步骤 如 下 。 

(1) 根据 实 训 拓扑 图 进行 交换 机 、 计 算 机 等 网 络 设备 的 线 缆 连 接 , 配置 PC 的 他 地 址 ， 
搭建 好 实 训 环境 。 

(2) 配置 交换 机 Telnet 功能 。 

在 配置 机 上 ， 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ” 组件 程 序 ， 通 过 串口 连接 
到 交换 机 的 配置 界面 , 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 
8、 奇 偶 校 验 无 、 数 据 流 控 制 无 )。 

在 Swl 上 进行 SSH 功能 配置 ， 主 要 配置 清单 如 下 。 


-、 设 备 初始 化 配置 





品 1. 更 改 设备 名 字 
高 <H3C>system-view // 进 入 系统 视图 
[H3C]sysname Swl // 设 置 设备 名 
体 2. 配置 交换 机 的 卫 参数 
区 [Swilinterface Vlan-interface 1 // 进 入 VLANI1 的 接口 视图 
材 [Swl-Vlan-interfacel]ip address 192.168.10.254 24 // 配 置 交 换 机 的 管理 下 
计 二 、 配 置 交换 机 SSH 功能 
算 1. 使 能 SSH 功能 
机 [Swl-Vlan-interfacel]quit // 退 回 系统 视 图 
[Swl]ssh server enable // 使 能 SSH 功能 
| 2. 进入 VTY 视图 
| [SwlJuser-interface vty 04 // 进 入 VTY 视图 
[Swl-ui-vty0-4]protocol inbound ssh // 将 VTY 视图 的 协议 类 型 由 





telnet 改 为 SSH( 默 认 情况 下 ， 网 络 设 备 的 VTY 视图 ， 支 持 的 是 Telnet) 
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3. 设置 验证 模式 
SSH 的 验证 模式 有 三 种 。 


4. 创建 SSH 用 户 和 密码 

() 创 建 本 地 账户 : 

[Swl-ui-vty0-4]quit 

[Swl]jlocal-user zhangsan 

(2) 设 置 账户 口令 : 
[Swl-luser-zhangsanlpassword cipher 123 
(3) 更 改 账户 类 型 : 
[Swl-luser-zhangsan]service-type ssh 
(4) 设 置 账户 等 级 : 





9.2.6 SSH 任务 验收 


(DNone 模式 : 远程 登录 的 时 候 ， 不 需要 通过 密码 和 用 户 进行 验证 。 
(2)Password 模式 : 远程 的 时 候 ， 需 要 输入 密码 。 

(3)Scheme 模式 : 远程 登录 的 时 候 需要 提供 账户 和 密码 。 
[Swl-ui-vty0-4]authentication-mode scheme 


// 设 置 SSH 验证 模式 为 scheme 


// 退 回 系统 视图 
// 创 建 本 地 账户 zhangsan 





// 为 本 地 账户 zhangsan 设置 口令 


// 将 zhangsan 的 账户 类 型 从 本 地 账户 改 为 SSH 类 型 


[Sw1-luser-zhangsan]authorization-attibute level 3 /将 zhangsan 的 账户 等 级 从 访问 级 改 为 管理 级 





Retry SerType Username 


Stelnetzhangsan 


1. 配置 验收 

<Swl>display ssh server session 
Conn Ver Encry State 

VIY 0 2.0 AES Established 0 
2. 功能 验收 


在 PC1 上 运行 putty 终端 软件 ， 进 行 网 络 参数 配置 设置 ， 如 图 9-6 所 示 。 











Bioopiore tay TTY eonsion | 


Speciy the destination you want to connect lo 


Host Name (or IP addesa Pen 


haz 168 10 254 2 


Connection gpe 
Bom 广 Tens Rlogn ec SSH Seial | 





图 9-6 putty 终端 软件 网 络 参数 设置 
设置 完毕 ， 单 击 Open 按钮 ， 即 可 打开 SSH 登录 界面 ， 输 入 用 户 名 和 密码 ， 如 图 9-7 


所 示 。 





图 
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9-7 SSH 登录 界面 


成 功 登录 后 ， 即 可 在 终端 中 通过 命令 远程 配置 网 络 设备 ， 如 图 9-8 所 示 。 


168. 10. 254 — PaTTY =|9|x| 





9-8 SSH 成 功 登 录 界 面 


9.2.7 SSH 任务 总 结 


针对 企业 网 网 络 设备 远程 管理 的 建设 内 容 和 目标 ， 通 过 需求 分 析 进 行 了 实 训 的 规划 和 


实施 。 通 过 本 任务 进行 了 远程 管理 (SSH) 的 配置 和 验收 ， 达 到 了 通过 运用 SSH 远程 管理 协 
议 对 网 络 设备 进行 远程 管理 、 提 高 网 络 管理 效率 的 目的 。 


9.3 任务 3: 企业 网 服务 器 远程 管理 实现 


9.3.1 服务 器 远程 管理 任务 描述 





某 集 团 公司 在 各 地 区 设立 了 分 公司 ， 各 分 公司 通过 专线 进行 连接 ， 分 公司 内 部 具有 数 
量 不 等 的 Windows 服务 器 提供 网 络 服务 。 根 据 公 司 的 统一 管理 和 规范 要 求 ， 公 司 总 部 技术 
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人 员 需 要 对 分 公司 服务 器 进行 远程 管理 ， 以 便 执行 日 常 检查 、 故 障 排除 、 软 件 安装 与 配置 
等 操作 和 管理 。 请 给 出 解决 方法 并 实施 。 


9.3.2 ”服务 器 远程 管理 任务 目标 与 目的 


1. 任务 目标 

本 项 目 针对 分 公司 的 Windows 服务 器 进行 远程 管理 ， 以 便 执行 日 常 检查 、 故 障 排除 、 
软件 安装 与 配置 等 操作 和 管理 。 

2. 任务 目的 

通过 本 任务 进行 远程 管理 ， 利 用 常用 的 远程 管理 软件 一 一 Windows 远程 桌面 、Radmin 
实现 远程 管理 ， 以 帮助 读者 了 解 常用 的 远程 管理 方法 ， 熟 练 掌握 远程 管理 软件 ， 并 能 灵活 
用 。 











[oi 


9.3.3 ”服务 器 远程 管理 任务 需求 与 分 析 


1. 任务 需求 
经 调查 ， 分 公司 远程 需要 管理 的 服务 器 信息 如 表 9-12 所 示 。 
表 9-12 远程 需要 管理 的 服务 器 信息 


服务 器 类 型 | IP 地址 | 
数据 库 服务 器 Windows Server 2003 


邮件 服务 器 192.168.5.2 Windows Server 2000 
域 控制 器 192.168.5.3 Windows Server 2003 


2. 需求 分 析 

需求 1: 对 Windows 服务 器 进行 远程 管理 ， 便 于 远程 操作 和 控制 服务 器 。 

分 析 1: 使 用 远程 桌面 、Radmin 远程 管理 软件 对 服务 器 进行 远程 管理 。 远 程 桌面 具有 
简单 易 用 和 简化 的 连接 操作 。Radmin 安装 和 使 用 简单 ， 在 速度 、 可 靠 性 及 安全 性 方面 都 有 
其 显著 的 特点 。 





9.3.4 ”服务 器 远程 管理 知识 链接 


1. 远程 管理 

远程 管理 是 计算 机 使 用 特定 的 软件 或 服务 , 通过 网 络 对 远程 的 计算 机 进行 管理 、 控 制 ， 
并 将 远程 计算 机 的 桌面 、 网 络 、 磁 盘 等 内 容 在 本 地 机 器 上 显示 ， 达 到 能 操作 和 管理 远程 计 
算 机 的 功能 。 通 过 远程 管理 能 比较 方便 地 实现 远程 办 公 、 远 程 技术 支持 、 远 程 交 流 、 远 程 
维护 和 管理 等 多 种 需求 。 

远程 管理 一 般 支持 的 网 络 方式 为 LAN、WAN、 拨 号 方式 、 互 联网 方式 。 此 外 ， 有 的 
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远程 管理 软件 还 支持 通过 串口 、 并 口 、 红 外 端口 来 对 远程 机 进行 控制 。 传 统 的 远程 管理 软 
件 一 般 使 用 NETBEUI、NETBIOS、IPX/SPX、TCP/IP 等 协议 来 实现 远程 控制 。 随 着 网 络 
技术 的 发 展 ， 目 前 很 多 远程 管理 软件 通过 Web 页 面 以 Java 技术 来 控制 远程 计算 机 ， 这 样 
可 以 实现 不 同 操作 系统 下 的 远程 管理 。 

远程 管理 软件 一 般 分 两 个 部 分 : 一 部 分 是 客户 端 程序 Client; 另 一 部 分 是 服务 器 端 程 
序 Server。 在 使 用 前 需要 将 客户 端 程序 安装 到 主 控 端 计算 机 上 ， 将 服务 器 端 程序 安装 到 被 
控 端 计算 机 上 。 它 的 控制 的 过 程 一 般 是 先 在 主 控 端 计算 机 上 执行 客户 端 程 序 ， 像 一 个 普 
的 客户 一 样 向 被 控 端 计算 机 中 的 服务 器 端 程序 发 出 信号 ， 建 立 一 个 特殊 的 远程 服务 连接 ， 
然后 通过 这 个 远程 服务 连接 ， 使 用 各 种 远程 控制 功能 发 送 远 程控 制 命令 ， 控 制 被 控 端 计算 
机 中 的 各 种 应 用 程序 运行 。 这 种 远程 控制 方式 为 基于 远程 服务 的 远程 控制 。 通 过 远程 控制 
软件 ， 可 以 进行 很 多 方面 的 远程 控制 ， 包 括 获 取 目 标 计 算 机 屏幕 图 像 、 窗 口 及 进程 列表 ; 
记录 并 提取 远 端 键盘 事件 ( 击 键 序列 ， 即 监视 远 端 键盘 输入 的 内 容 ); 可 以 打开 、 关 闭 目标 
计算 机 的 任意 目录 并 实现 资源 共享 ， 提 取 拨 号 网 络 及 普通 程序 的 密码 ， 激 活 、 中 止 远 端 程 
序 进程 ， 管 理 远 端 计算 机 的 文件 和 文件 夹 ， 关 闭 或 者 重新 启动 远 端 计算 机 中 的 操作 系统 ; 
修改 Windows 注册 表 ; 通过 远 端 计算 机 上 、 下 载 文 件 和 捕获 音频 、 视 频 信号 等 。 


2. 远程 管理 软件 


1) ”Windows 远程 桌面 

Windows 远程 桌面 是 一 种 终端 服务 技术 ， 使 用 远程 桌面 可 以 从 运行 Windows 操作 系 
统 的 任何 客户 机 来 运行 远程 Windows 7、Windows Server 2003、Windows Server 2008 计算 
机 上 的 应 用 程序 。 终 端 服务 使 用 RDP 协议 (远程 桌面 协议 ) 客 户 端 连 接 ， 使 用 终端 服务 的 客 
户 可 以 在 远程 以 图 形 界面 的 方式 访问 服务 器 ， 并 且 可 以 调用 服务 器 中 的 应 用 程序 、 组 件 、 
服务 等 ， 和 操作 本 机 系统 一 样 。 这 样 的 访问 方式 不 仅 大 大 方便 了 各 种 各 样 的 用 户 ， 而 且 提 
高 了 工作 效率 ， 并 且 能 有 效 地 节约 企业 的 维护 成 本 。 

Windows 7 远程 桌面 功能 , 只 能 提供 一 个 用 户 使 用 计算 机 。 而 Windows 2003、Windows 
2008 终端 服务 提供 的 远程 桌面 功能 则 可 供 多 用 户 同时 使 用 。 

















[她 提示 : Windows 远程 桌面 服务 端 默认 采用 TCP 3389 端口 提供 连接 。 如 果 启 用 了 防火 


墙 ， 需 要 在 防火 墙 设置 里 允许 “远程 桌面 ”服务 或 TCP 3389 端口 通过 。 


2) ”Radmin 远程 控制 软件 

Radmin 是 一 款 安 装 和 使 用 都 很 简单 的 远程 控制 软件 ， 帮 助人 们 在 远程 计算 机 上 工作 ， 
如 同 坐 在 那 台 计算 机 前 一 样 。 该 软件 是 较 理想 的 远程 访问 解决 方案 ， 可 以 从 多 个 地 点 访问 
司 一 台 计 算 机 ， 并 使 用 高 级 文件 传输 、 远 程 关机 、Telnet、 操 作 系 统 集成 的 NT 安全 性 系 
统 支持 ， 以 及 其 他 功能 。Radmin 使 用 简单 ， 在 速度 、 可 靠 性 及 安全 性 方面 都 有 其 显著 的 特点 。 





9.3.5 ”服务 器 远程 管理 任务 实施 


1. 实施 规划 
根据 需求 ， 规 划分 公司 远程 管理 的 参数 ， 如 表 9-13 所 示 。 





TT ER 到 
表 9-13 远程 管理 的 参数 

计算 机 远程 管理 方式 
邮件 服务 器 192.168.5.2 Windows Server 2000 远程 桌面 
客户 机 192.168.5.4 Windows Server 2003 远程 桌面 、Radmin 
2. 实施 步骤 
任务 的 实施 步骤 如 下 。 

(1) 进行 交换 机 、 计 算 机 等 网 络 设备 的 线 缆 连接 ， 配 置 客 户 机 、 服 务 器 的 卫 地 址 ， 连 
通 整 个 网 络 ， 搭 建 好 实 训 环境 。 

(2) 配置 远程 桌面 服务 端 。 

远程 桌面 为 Windows 系统 自 带 的 服务 ， 不 需要 另外 安装 。 在 需要 被 控制 的 服务 器 上 通 
过 “控制 面板 ”双击 “系统 ”选项 ， 打 开 “ 系 统 属性 ”对 话 框 。 

在 “系统 属性 ”对 话 框 中 切换 到 “远程 ”选项 卡 ， 然 后 选中 “人 允许 用 户 远程 连接 到 这 
台 计 算 机 ” 复 选 框 。 单 击 “ 选 择 远程 用 户 ” 按 钮 ， 在 随后 出 现 的 对 话 框 中 添加 或 删除 用 户 ， 
选择 添加 有 具有 远程 控制 权限 的 用 户 ， 单 击 “确定 ” 按 钮 ， 如 图 9-9 和 图 9-10 所 示 。 

Ei 


和 需 | 计算 机 名 | 镜 件 | 高 胡 | 自动 更 新 到 各 
| 饮 摊 可 以 从 另 一 个 位 置 使 用 这 各 计算 机 的 方式 。 
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进一步 了 解 远程 点 面 。 
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9-9 ”启用 远程 桌面 


图 9-10 选择 远程 用 户 

如 果 本 机 启用 了 Windows 防火 墙 或 安装 了 其 他 防火 墙 软件 ， 需 要 在 防火 墙 设置 的 例外 
列表 中 选择 “远程 桌面 ”服务 或 相应 端口 ， 如 图 9-11 所 示 。 

(3) 使 用 远程 桌面 客户 端 。 


远程 桌面 连接 程序 已 内 置 到 Windows 7/2003/2008 的 附件 中 ,不 用 安装 任何 程序 就 可 以 
使 用 远程 桌面 连接 。 





通过 任务 栏 的 “开始 -> 程序 -> 附件 -> 通信 -> 远程 桌面 连接 ”来 启动 登录 程序 。 

在 “计算 机 ”处 输入 开启 了 远程 桌面 功能 的 计算 机 下 地 址 ， 如 图 9-12 所 示 。 

单 击 “ 连 接 ” 按 钮 后 输入 具有 远程 控制 权限 的 用 户 账号 ， 就 可 以 成 功 登录 该 计算 机 ， 
远程 桌面 连接 将 会 显示 远程 计算 机 的 桌面 并 且 具 有 控制 权限 ， 如 图 9-13 所 示 。 
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图 9-13 ”远程 桌面 登录 后 的 桌面 


(4) Radmin 安装 配置 。 

从 Radmin 网 站 下 载 Radmin 软件 的 评估 版 本 ， 评 估 版 本 为 30 天 试用 期 ， 下 载 站 点 为 
http://www.radmin.com/download， 分 别 在 服务 器 和 客户 机 上 根据 安装 向 导 提 示 完 成 Radmin 
安装 。 

设置 和 启动 Radmin 服务 端 。 先 在 服务 器 上 设置 Radmin 的 服务 端 ， 在 开始 程序 菜单 中 
打开 Remote Administrator 的 Radmin 设置 来 设置 服务 端 ， 如 图 9-14 所 示 。 

选择 “安装 服务 ”将 Radmin 作为 操作 系统 服务 运行 ， 选 择 “ 设 置 口令 ”设置 远程 管 
理 口令 ,可 以 选择 独立 的 连接 口令 或 使 用 操作 系统 的 用 户 安 全 进行 验证 ,如 图 9-15 和 图 9-16 
所 示 。 
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安装 服务 
如 果 执行 安装 服务 ， 当 计算 机 重新 启动 时 此 服务 将 自动 启动 。 smg | 
五 anaes 0/2000 用 户 : 如 果 要 安装 或 移 除 服务 ， 必 须要 移 除 服 务 


设置 口令 


加 果 没 有 安装 此 服务 ， 可 以 在 需要 的 时 候 手工 启动 . 


但 在 此 情况 下 可 能 有 些 功能 无 法 使 用 。 | 


关于 .. 





图 9-14 Remote Administrator 选项 


请 输入 远程 管理 口令 
连接 口令 
密码 
确认 密码 

















使 用 WinNT 用 户 安全 











9-15 设置 Radmin 远程 管理 口令 9-16 ”添加 操作 系统 用 户 


在 开始 程序 菜单 中 打开 Remote Administrator， 选 择 “ 开 始 服 务 ”， 运 行 Radmin 服 
务 端 。 

在 客户 机 上 设置 Radmin 客户 端 。 在 开始 程序 菜单 中 打开 Remote Administrator， 打 开 
Remote Administrator viewer 连接 器 。 

在 Remote Administrator viewer 连接 器 下 ， 依 次 选择 “连接 ”“ 新 建 ” 选 项 ， 打 开 “ 新 
建 连接 ”对 话 框 ， 如 图 9-17 所 示 。 

在 输入 新 建 项 目 名 称 、IP 地 址 、 端 口 (使 用 默认 端口 4899) 后 单 击 “ 确 定 ” 按 钮 ， 双 击 
新 建立 的 项 目 名 称 即 可 连接 上 服务 器 端 ， 如 图 9-18 所 示 。 连 接 成 功 后 即 可 显示 远程 计算 机 
桌面 并 可 进行 控制 ， 如 图 9-19 所 示 。 

本 


FE 2 名 [x 印加 lc #| 
匡 地 址 或 ns 名 称 











端口 : 默认 


图 9-17 “新 建 连接 ”对 话 框 图 9-18 ” 建 好 的 连接 项 目 
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9-19 ”Radmin 远程 计算 机 桌面 


9.3.6 ”服务 器 远程 管理 任务 验收 


1. 配置 验收 

查看 计算 机 上 的 远程 桌面 、Radmin 配置 情况 。 

2. 功能 验收 

在 客户 机 上 分 别 使 用 远程 桌面 、Radmin 连接 服务 器 ， 能 远程 控制 和 操作 服务 器 。 


9.3.7 ”服务 器 远程 管理 任务 总 结 


针对 公司 服务 器 远程 管理 的 建设 内 容 和 目标 , 通过 需求 分 析 进 行 了 实 训 的 规划 和 实施 。 
通过 本 任务 进行 了 远程 管理 的 配置 和 验收 ， 达 到 了 通过 运用 多 种 远程 管理 软件 对 服务 器 进 
行 远 程 管理 、 提 高 网 络 管理 效率 的 目的 。 





9.4 任务 4: 公司 网 AAA 体系 部 署 


9.4.1 AAA 技术 任务 描述 


某 公 司 构建 自己 的 内 部 企业 网 ， 每 位 员工 都 有 一 台 办 公 电 脑 ， 主 机 规模 近 100 台 ， 
部 可 以 实现 通信 和 资源 共享 。 公 司 的 网 络 管理 员 为 了 方便 管理 和 维护 网 络 ， 将 网 络 中 的 主 
要 交换 机 或 路 由 器 均 开 启 了 Telnet 远程 管理 功能 。 通 过 Telnet 功能 ， 网 络 管理 员 只 需要 在 
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自己 的 办 公 电 脑 上 即 可 远程 配置 和 管理 网 络 设备 ， 提 升 了 管理 效率 ， 降 低 了 管理 难度 。 但 
在 配置 Telnet 功能 时 ， 默 认 采 用 的 是 Telnet 的 本 地 验证 模式 。 随 着 网 络 业务 与 规模 的 不 断 
扩展 ， 需 要 远程 Telnet 管理 的 网 络 设备 也 随 之 增加 。 传 统 的 本 地 验证 模式 暴露 出 了 诸多 弊 
端 ， 账户 信息 分 散 、 账 户 信息 缺乏 安全 保证 、 账 户 信息 管理 不 便 、 影 响 网 络 设备 数据 转发 
性 能 等 。 因 此 ， 公 司 网 络 管理 员 希 望 能 将 Telnet 账户 信息 和 网 络 设备 进行 剥离 ， 提 供 统一 、 
集中 管理 的 手段 来 管理 网 络 设备 的 账户 信息 ， 以 方便 管理 ， 并 提升 网 络 的 安全 性 。 请 你 规 
划 并 实施 网 络 。 





9.4.2 AAA 技术 任务 目标 和 目的 


1. 任务 目标 

针对 该 公司 的 网 络 需求 ， 进 行 网 络 规划 设计 ， 通 过 AAA 技术 ， 为 公司 网 络 提供 认证 、 
授权 、 计 费 等 管理 安全 架构 ， 并 为 公司 网 络 设备 账户 信息 提供 统一 集中 管理 手段 ， 以 提高 
管理 效率 ， 增 强 网 络 设备 的 安全 性 。 

2. 任务 目的 

通过 本 任务 进行 交换 机 或 路 由 器 的 AAA( 认 证 、 授 权 、 计 费 ) 配 置 ， 以 帮助 读者 在 深入 
了 解 交换 机 的 基础 上 ， 掌 握 AAA( 认 证 、 授 权 、 计 费 ) 配 置 方法 ， 具 备 灵 活 运用 AAA 技术 
提高 公司 网 络 安全 性 、 方 便 网 络 管理 、 提 升 网 络 管理 效率 的 能 力 。 








9.4.3 AAA 技术 任务 需求 与 分 析 


1. 任务 需求 

某 公 司 构建 自己 的 内 部 企业 网 ， 每 个 员工 都 有 一 台 办 公 电 脑 ， 主 机 规模 近 100 台 ， 
部 可 以 实现 通信 和 资源 共享 。 为 了 方便 管理 , 网 络 中 主要 的 交换 机 或 路 由 器 均 开启 了 Telnet 
远程 管理 功能 ， 但 采用 的 是 本 地 验证 方式 。 本 地 验证 方式 暴露 出 诸多 问题 : 账户 信息 分 散 、 
账户 信息 缺乏 安全 保证 、 账 户 信息 管 理 不 便 、 影 响 网 络 设备 数据 转发 性 能 等 。 公 司 网 络 管 
理 员 希 望 能 为 Telnet 提供 远程 认证 方式 ， 将 所 有 网 络 设备 的 Telnet 账户 与 网 络 设备 进行 剥 
离 ， 提 供 集中 、 统 一 存储 并 管理 的 手段 。 

. 需求 分 析 

需求 1: 为 公司 网 络 中 的 主要 的 交换 机 或 路 由 器 提供 Telnet 的 远程 验证 手段 ， 将 网 络 
中 所 有 设备 的 Telnet 账户 进行 统一 集中 的 存储 、 管 理 ， 从 而 提高 管理 效率 ， 同 时 也 提升 网 
络 设备 的 安全 性 。 

分 析 1: 通过 AAA 技术 ， 为 Telnet 提供 远程 验证 模式 。 在 网 络 中 统一 构建 Radius 服 
务 器 ， 将 网 络 设备 的 Telnet 账户 信息 统一 、 集 中 存储 在 远 端 的 Radius 服务 器 上 ， 以 方便 管 
理 ， 并 提高 交换 机 远程 登录 的 安全 性 。 根 据 任务 需求 和 需求 分 析 ， 组 建 公司 办 公 区 的 网 络 
结构 ， 如 图 9-20 所 示 。 
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9-20 ”公司 的 网 络 结构 


9.4.4 AAA 技术 知识 链接 


1. AAA 的 基本 概念 


AAA 是 认证 (Authentication)、 授权 (Authorization) 和 计 费 (Accounting) 的 缩写 , 它 是 运行 
于 NAS( 网 络 访问 服务 器 ) 上 的 客户 端 程序 。 它 提供 了 一 个 用 来 对 认证 、 授 权 和 计 费 这 三 种 
安全 功能 进行 配置 的 一 致 性 框架 ， 实 际 上 是 对 网 络 安全 的 一 种 管理 。 这 里 的 网 络 安全 主要 
是 指 访问 控制 , 包括 哪些 用 户 可 以 访问 网 络 服务 器 ; 具有 访问 权 的 用 户 可 以 得 到 哪些 服务 ; 
以 及 如 何 对 正在 使 用 网 络 资源 的 用 户 进行 计 费 。 目前 , 主要 通过 RADIUS 和 TACACS 协议 
实现 。 

下 面 简单 介绍 AAA 所 提供 的 三 种 服务 。 

1) ”认证 功能 

AAA 支持 以 下 几 种 认证 方式 。 

(1) 不 认证 。 对 用 户 非 常 信任 ， 不 对 其 进行 检查 ， 一 般 情况 下 不 采用 这 种 方式 。 

(2) 本 地 认证 。 将 用 户 信 息 (包括 本 地 用 户 的 用 户 名 、 密 码 和 各 种 属性 ) 配 置 在 接 入 服 
务 器 上 。 本 地 认证 的 优点 是 速度 快 ， 降 低 运 营 成 本 ; 但 存储 信息 量 受 设备 硬件 条 件 限制 。 

(3) 远 端 认证 。 支 持 通 过 RADIUS 协议 或 HWTACACS 协议 进行 远 端 认证 ， 由 接 入 服 
务 器 作为 Client 端 ， 与 RADIUS 服务 器 或 TACACS 服务 器 通信 。 

2) ”授权 功能 

AAA 支持 以 下 授权 方式 。 

(1) 直接 授权 。 对 用 户 非常 信任 ， 直 接 授权 通过 。 

(2) 本 地 授权 。 根 据 宽带 接 入 服务 器 上 为 本 地 用 户 账号 配置 的 相关 属性 进行 授权 。 

(3) HWTACACS 授权 。 由 TACACS 服务 器 对 用 户 进行 授权 。 

(4) 还 authenticated 授权 。 如 果 用 户 通过 了 认证 ， 并 且 使 用 的 认证 方法 不 是 none， 则 
对 用 户 授权 通过 。 

(5) RADIUS 认证 成 功 后 授权 。RADIUS 协议 的 认证 和 授权 是 绑 定 在 一 起 的 ， 不 能 单 
独 使 用 RADIUS 进行 授权 。 
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3) ” 计 费 功能 

AAA 支持 以 下 计 费 方式 。 

(1) 不 计 费 。 

(2) 远 端 计 费 。 支 持 通过 RADIUS 服务 器 或 TACACS 服务 器 进行 远 端 计 费 。 

2. AAA 认证 架构 

一 个 完整 的 AAA 体系 由 以 下 两 大 要 素 构 成 。 

1) AAA 客户 端 

客户 端 为 NAS( 网 络 接 入 服务 ， 是 一 类 网 络 服务 的 总 称 。 常 用 的 网 络 接 入 服务 有 FTP、 
telnet、SSH、VPN、 端 口 接 入 控制 ……)， 负 责 搜 集 用 户 认证 、 授 权 、 计 费 信 息 ， 并 传递 给 
服务 器 。 

2) AAA 服务 器 

服务 器 目前 主要 为 RADIUS、TACACS 等 服务 器 ， 负 责 集中 管理 用 户 信息 。 

AAA 认证 架构 如 图 9-21 所 示 。 针 对 AAA 功能 ， 用 户 具备 自由 组 合 权利 ， 即 认证 、 授 
权 、 计 费 三 者 在 功能 上 是 独立 的 ， 用 户 可 以 自由 组 合 。 但 一 般 而 言 ， 认 证 是 必 选 的 ， 计 费 
功能 是 可 选 的 。 
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9-21 AAA 认证 架构 
3. RADIUS 协议 


1) RADIUS 的 基本 概念 

RADIUS 远程 认证 拨 入 用 户 服务 ， 是 用 于 NAS 和 AAA 服务 器 间 通 信 的 一 种 协议 。 
RADIUS 对 AAA 的 三 个 组 件 都 提供 支持 : 认证 、 授 权 和 计 费 。 

一 个 网 络 允许 外 部 用 户 通过 公用 网 对 其 进行 访问 , 其 用 户 在 地 理 上 的 分 布 会 极为 分 散 。 
用 户 可 以 把 自己 的 信息 传递 给 这 个 网 络 ， 也 可 以 从 这 个 网 络 得 到 自己 想 要 的 信息 。 由 于 存 
在 内 外 的 双向 数据 流动 ， 网 络 安 全 就 显得 尤为 重要 。 这 个 网 络 管理 的 内 容 包 括 哪些 用 户 可 
以 获得 访问 权 ; 获得 访问 权 的 用 户 可 以 允许 使 用 哪些 服务 ; 如 何 对 使 用 网 络 资源 的 用 户 进 
行 计 费 。AAA 很 好 地 完成 了 这 三 项 任务 。 

RADIUS 通过 建立 唯一 的 用 户 数 据 库 , 存储 用 户 名 和 用 户 的 密码 来 进行 认证 ; 存储 传递 
给 用 户 的 服务 类 型 以 及 相应 的 配置 信息 来 完成 授权 。 

2) RADIUS 关键 特性 

RADIUS 协议 有 以 下 几 个 方面 的 关键 特性 。 
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(1) 客户 端 /服务 器 模式 (Client/Server)。 

NAS 是 作为 RADIUS 的 客户 端 运作 的 。 这 个 客户 端 负责 将 用 户 信 息 传 递 给 指定 的 
RADIUS 服务 器 ， 并 负责 执行 返回 的 响应 。RADIUS 服务 器 负责 接收 用 户 的 连接 请 求 ， 鉴 
别 用 户 ， 并 为 客户 端 返 回 所 有 为 用 户 提供 服务 所 必需 的 配置 信息 。 一 个 RADIUS 服务 器 可 
以 为 其 他 RADIUS Server 或 其 他 种 类 认证 服务 器 担当 代理 。 

(2) 网 络 安全 (Network Security)。 

客户 端 和 RADIUS 服务 器 之 间 的 事务 是 通过 使 用 一 种 从 来 不 会 在 网 上 传输 的 共享 密 钥 
机 制 进行 鉴别 的 。 另 外 ， 在 客户 端 和 RADIUS 服务 器 之 间 的 任何 用 户 密码 都 是 被 加 密 后 传 
输 的 ， 这 是 为 了 避免 用 户 密码 在 不 安全 的 网 络 上 被 监听 获取 的 可 能 性 。 

(3) 灵活 的 认证 机 制 (Flexible Authentication Mechanisms)。 

RADIUS 服务 器 能 支持 多 种 认证 用 户 的 方法 。 包括 点 对 点 的 PAP 认证 (PPP PAP)、 点 对 
点 的 CHAP 认证 (PPP CHAP)、UNIX 的 登录 操作 (UNIX login) 和 其 他 认证 机 制 。 

(4) 扩展 协议 (Extensible Protocol)。 

RADIUS 协议 具有 很 好 的 扩展 性 。RADIUS 包 是 由 包头 和 一 定数 目的 属性 (Attribute) 构 
成 的 。 新 的 属性 可 以 在 不 中 断 已 存在 协议 执行 的 前 提 下 进行 增加 。 

3) ”RADIUS 系统 构成 

RADIUS 采用 典型 的 客户 端 / 服 务 器 (Client/Server) 结 构 , 它 的 客户 端 最 初 就 是 NAS, 现 
在 任何 运行 RADIUS 客户 端 软件 的 计算 机 都 可 以 成 为 RADIUS 的 客户 端 , RADIUS 组 成 结 
构 如 图 9-22 所 示 。 


fa 


用 户 Server / Client RADIUS 服务 器 





9-22 RADIUS 组 成 结构 


NAS 上 运行 的 AAA 程序 对 用 户 来 讲 为 服务 器 端 ， 对 RADIUS 服务 器 来 讲 是 作为 客户 
端 。 负 责 传输 用 户 信息 到 指定 的 RADIUS 服务 器 ， 然 后 根据 从 服务 器 返回 的 信息 进行 相应 
处 理 (如 接 入 / 挂 断 用 户 )。RADIUS 服务 器 负责 接收 用 户 连接 请 求 ， 认 证 用 户 ， 然 后 给 NAS 
返回 所 有 需要 的 信息 。 

(1) RADIUS 的 客户 端 通常 运行 于 接 入 服务 器 (NAS) 上 ,RADIUS 服务 器 通常 运行 于 一 
台 工作 站 上 ， 一 个 RADIUS 服务 器 可 以 同时 支持 多 个 RADIUS 客户 (NAS)。 

(2) RADIUS 的 服务 器 上 存放 着 大 量 信息 , 接 入 服务 器 (NAS) 无 须 保 存 这 些 信息 , 而 是 
通过 RADIUS 协议 对 这 些 信息 进行 访问 。 这 些 信息 的 集中 、 统 一 的 保存 ， 使 得 管理 更 加 方 
便 ， 而 且 更 加 安全 。 

(3) RADIUS 服务 器 可 以 作为 一 个 代理 ， 以 客户 的 身份 同 其 他 RADIUS 服务 器 或 者 其 
他 类 型 的 认证 服务 器 进行 通信 。 用 户 的 漫游 通常 就 是 通过 RADIUS 代理 实现 的 。 简单 地 说 ， 
代理 就 是 一 台 服 务 器 ,可 以 作为 其 他 RADIUS 服务 器 的 代理 ， 负 责 转发 RADIUS 认证 和 计 
费 数据 包 。 所 谓 漫游 功能 ， 就 是 代理 的 一 个 具体 实现 ， 这 样 可 以 让 用 户 通过 本 来 和 其 无 关 
的 RADIUS 服务 器 进行 认证 。 
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4) RADIUS 在 协议 栈 中 的 位 置 
RADIUS 是 一 种 流行 的 AAA 协议 ， 采 用 UDP 协议 传输 ， 在 协议 栈 中 的 位 置 如 图 9-23 
所 示 。 
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RADIUS 为 何 采 用 UDP 而 不 是 TCP 的 原因 如 下 。 

(1) NAS 和 RADIUS 服务 器 之 间 传 递 的 一 般 是 几 十 至 上 百 个 字 节 长 度 的 数据 , 用 户 可 
以 容忍 几 秒 到 十 几 秒 的 验证 等 待 时 间 。 当 处 理 大 量 用 户 时 服务 器 端 采用 多 线程 ，UDP 简化 
了 服务 器 端的 实现 过 程 。 

(2) TCP 是 必须 成 功 建立 连接 后 才能 进行 数据 传输 的 ， 这 种 方式 在 有 大 量 用 户 使 用 的 
情况 下 实时 性 不 好 。 

(3) 当 向 主 用 服务 器 发 送 请 求 失败 后 , 还 必须 向 备用 的 服务 器 发 送 请 求 。. 于 是 RADIUS 
要 有 重 传 机 制 和 备用 服务 器 机 制 ， 它 所 采用 的 定时 机 制 ，TCP 不 能 很 好 地 满足 。 

RADIUS 协议 采用 的 是 UDP 协议 , 数据 包 可 能 会 在 网 络 上 丢失 ， 如 果 客 户 没 有 收 到 响 
应 ， 那 么 可 以 重新 发 送 该 请 求 包 。 多 次 发 送 之 后 如 果 仍 然 收 不 到 响应 ，RADIUS 客户 可 以 
向 备用 的 RADIUS 服务 器 发 送 请 求 包 。 

5) RADIUS 网 络 安全 

RADIUS 协议 的 加 密 是 使 用 MD5 加 密 算法 进行 的 。 在 RADIUS 的 客户 端 (NAS) 和 服务 
器 端 (RADIUS Server) 保 存 了 一 个 密 钥 (key)，RADIUS 协议 利用 这 个 密 钥 使 用 MD5 算法 对 
RADIUS 中 的 数据 进行 加 密 处 理 。 密 钥 不 会 在 网 络 上 传送 。 

RADIUS 的 加 密 主要 体现 在 以 下 几 个 方面 。 

(1) 包 加 密 。 在 RADIUS 包 中 ， 有 16 字 节 的 验证 字 (authenticator) 用 于 对 包 进 行 签名 ， 
收 到 RADIUS 包 的 一 方 要 查看 该 签名 的 正确 性 。 如 果 包 的 签名 不 正确 , 那么 该 包 将 被 丢弃 ， 
对 包 进 行 签名 时 使 用 的 也 是 MD5 算法 (利用 密 钥 )， 没 有 密 钥 的 人 是 不 能 构造 出 该 签名 的 。 

(2) 口令 加 密 。 在 认证 用 户 时 , 用 户 的 口令 在 NAS 和 RADIUS Server 之 间 不 会 以 明文 
方式 传送 ， 而 是 使 用 了 MD5 算法 对 口令 进行 加 密 。 没 有 密 钥 的 人 是 无 法 正确 加 密 口令 的 ， 
也 无 法 正确 地 对 加 密 过 的 口令 进行 解密 。 

6) 口令 加 密 与 口令 验证 的 过 程 

当 用 户 上 网 时 ，NAS 将 决定 对 用 户 采 用 何 种 认证 方法 。 下 面 对 使 用 RADIUS 认证 的 情 
况 下 PPP 用 户 与 NAS 之 间 的 PAP 和 CHAP 认证 过 程 进行 介绍 。 

RADIUS 服务 器 可 以 使 用 H3C 的 iMC 服务 器 , 也 可 以 使 用 CISCO 的 ACS 服务 器 或 其 
他 第 三 方 服务 器 。 

(1) PAP 验证 。RADIUS Server 的 PAP 的 验证 流程 如 图 9-24 所 示 。 
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图 9-24 RADIUS Server 的 PAP 的 验证 流程 


用 户 以 明文 的 形式 把 用 户 名 和 密码 传递 给 NAS, NAS 把 用 户 名 和 加 密 过 的 密码 放 到 验 
证 请 求 包 的 相应 属性 中 传递 给 RADIUS 服务 器 。RADIUS 服务 器 根据 NAS 上 传 的 账号 进 
行 验证 来 决定 是 否 允 许 用 户 上 网 并 返回 结果 。NAS 可 以 在 其 中 包含 服务 类 型 属性 Attribute 
Service-Type=Framed-User， 和 Framed-Protocol =PPP 作为 提示 来 告诉 RADIUS 服务 器 PPP 
是 所 希望 的 服务 。 

Secret password =Password XOR MD5(Challenge + Key) 

(Challenge 就 是 RADIUS 报 文中 的 Authenticator) 

(2) CHAP 验证 , RADIUS Server 的 CHAP 的 验证 流程 如 图 9-25 所 示 。 对 于 CHAP( 挑 
战 握手 认证 协议 )， 它 提供 对 用 户口 令 进行 加 密 的 机 制 。 


Challenge/ 主 机 名 /CHAP ID 


Challenge/ 主 机 名 /CHAP ID 
CHAP ID/Username/Secret [er] oot her pre [rey] 
Pswrd ,So 之 

La 

用 户 < NAs RADIUS 

Ppp 接受 /拒绝 。 RADIUS Client ”接受 /拒绝 (RADIUS Server) 


9-25 RADIUS Server 的 CHAP 的 验证 流程 


当 用 户 请 求 上 网 时 , NAS 产生 一 个 16 字 节 的 随机 码 给 用 户 ( 同 时 还 有 一 个 ID 号 , 本 地 
路 由 器 的 Host name)。 用 户 端 得 到 这 个 包 后 使 用 自己 独 有 的 设备 或 软件 客户 端 将 CHAP ID、 
用 户 密 码 (口令 字 ) 用 MD5 算法 对 该 随机 码 进 行 加 密生 成 一 个 Secret Password， 随 同 用 户 名 
user name 一 并 传 给 NAS。 

NAS 把 传 回来 的 user name 和 Secret Password 分 别 作为 用 户 名 和 密码 ， 并 把 原来 的 16 
字 节 随机 码 以 及 CHAP ID 传 给 RADIUS 服务 器 .RADIUS 根据 用 户 名 在 服务 器 端 查找 数据 
库 ， 得 到 和 用 户 端 进行 加 密 所 用 的 一 样 的 密 铀 ， 用 MD5 算法 对 CHAP ID、 密 铀 和 传 来 的 
16 字 节 的 随机 码 进行 加 密 ， 将 其 结果 与 传 来 的 Password 做 比较 ， 如 果 相 匹配 ， 服 务 器 送 回 
一 个 接 入 允许 数据 包 ， 否 则 送 回 一 个 接 入 拒绝 数据 包 。 

7) RADIUS 体系 结构 

当 用 户 PC 通过 某 个 网 络 (如 电话 网 ) 与 NAS 建立 连接 从 而 获得 访问 其 他 网 络 的 权利 
时 ，NAS 可 以 选择 在 NAS 上 进行 本 地 认证 计 费 ， 或 把 用 户 信息 传递 给 RADIUS 服务 器 ， 
由 RADIUS 进行 认证 计 费 ; RADIUS 协议 规定 了 NAS 与 RADIUS 服务 器 之 间 如 何 传递 用 
户 信息 和 计 费 信息 : RADIUS 服务 器 负责 接收 用 户 的 连接 请 求 ， 完 成 认证 ， 并 把 传递 服务 
给 用 户 所 需 的 配置 信息 返回 给 NAS 。 
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通常 对 RADIUS 协议 的 认证 服务 端口 号 是 1645( 早 期 实现 ) 或 1812, 计 费 服务 端口 号 是 
1646( 早 期 实现 ) 或 1813。 当 我 们 进行 NAS 设备 和 RADIUS 服务 器 对 接 的 时 候 , 由 于 生产 厂 


家 可 能 不 同 ， 所 对 应 的 服务 器 端口 号 不 同 ， 那 么 就 需要 调整 服务 器 端口 号 。 例 如 ， 


与 其 他 


厂家 radius 协议 默认 端口 号 是 1645 和 1646， 需 要 与 其 协商 ， 调 整 到 相同 的 端口 号 ， 这 样 


才能 对 接 成 功 。 
8) RADIUS 报 文 的 交互 流程 


RADIUS 服务 器 对 用 户 的 认证 过 程 通常 需要 利用 NAS 等 设备 的 代理 认证 功能 ， 
RADIUS 客户 端 和 RADIUS 服务 器 之 间 通 过 共享 密 钥 认证 相互 间 交 互 的 消息 ， 用 户 密码 采 


用 密 文 方式 在 网 络 上 传输 ， 增 强 了 安全 性 。RADIUS 协议 合并 了 认证 和 授权 过 程 ， 
报 文中 携带 了 授权 信息 。 操 作 流程 图 和 步骤 如 图 9-26 所 示 。 


和 RADIUS client RADIUS Server 


(1) 用 户 输入 用 户 名 刻 码 





| (2) 认证 请 求 包 
| 1 (3) 认证 接受 /拒绝 包 1 
| 1 (4) 计 费 开始 请 求 包 1 
| ! (5) 计 费 开始 请 求 咱 应 包 。 
: 
1 (7) 计 费 结束 请 求 包 

! (8) 计 费 结束 请 求 响应 包 。! 

1 

1 





(9) 通知 访问 结束 


9-26 RADIUS 的 典型 实现 流程 


即 响应 


在 一 个 客户 端 被 设置 使 用 RADIUS 协议 后 ， 任 何 使 用 这 个 终端 的 用 户 都 需要 向 这 个 客 
户 端 提供 认证 信息 。 该 信息 或 者 以 一 种 定制 化 的 提示 信息 出 现 ， 用 户 需 要 输入 他 们 的 用 户 
名 和 密码 ; 或 者 也 可 以 选择 比如 像 点 对 点 的 传输 协议 (Point-to-Point Protocol)， 通 过 认证 包 


来 传递 这 种 认证 信息 。 
基本 交互 过 程 如 下 。 
(1) 用 户 输入 用 户 名 和 口令 。 


(2) RADIUS 客户 端 根 据 获 取 的 用 户 名 和 口令 ， 向 RADIUS 服务 器 发 送 认 证 请 求 包 


(Access-Request)。 


(3) RADIUS 服务 器 将 该 用 户 信息 与 Users 数据 库 信息 进行 对 比分 析 ， 如 果 认 证 成 功 ， 
则 将 用 户 的 权限 信息 以 认证 响应 包 (Access-Accepb 发 送 给 RADIUS 客户 端 ; 如 果 认 证 失败 ， 


则 返回 Access-Reject 响应 包 。 
(4) RADIUS 客户 端 根据 接收 到 的 认证 结果 接 入 /拒绝 用 户 。 如 果 可 以 接 入 月 











目 户 ， 则 


RADIUS 客户 端 向 RADIUS 服务 器 发 送 计 费 开始 请 求 包 (Accounting-Request)，Status-Type 


取 值 为 start。 
(5) RADIUS 服务 器 返回 计 费 开始 响应 包 (Accounting-Response)。 

















(6) RADIUS 客户 端 向 RADIUS 服务 器 发 送 计 费 停 止 请 求 包 (Accounting-Request)， 





E> 
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Status-Type 取 值 为 stop 。 

(7) RADIUS 服务 器 返回 计 费 结束 响应 包 (Accounting-Response)。 

9) RADIUS 协议 的 报 文 结 构 

RADIUS 采用 UDP 传输 消息 ， 通 过 定时 器 管理 机 制 、 重 传 机 制 、 备 用 服务 器 机 制 ， 确 
保 RADIUS 服务 器 和 客户 端 之 间 交 互 消息 正确 收发 。 标 准 RADIUS 协议 报 文 的 结构 如 图 


9-27 所 示 。 
EE 





图 9-27 标准 RADIUS 协议 报 文 的 结构 





(1) Code。 包 类 型 。 

1 字 节 ， 指 示 RADIUS 包 的 类 型 。 在 接收 到 一 个 无 效 编码 域 的 数据 包 后 ， 该 数据 包 只 
是 会 被 简单 地 丢弃 。 

Code 域 的 主要 类 型 如 表 9-14 所 示 。 


表 9-14 Code 域 的 主要 类 型 


Code 报 文 类 型 报 文 说 明 
四 ,二 方向 Client->Server，Client 将 用 户 信息 传输 到 Server 以 判断 是 否 接 
1 和 NeW | 入 该 用 户 。 该 报 文中 必须 包含 UserName 属性 ， 可 选 包含 
3 


NAS-IP-Address、User-Password、NAS-Port 等 属性 
Access-Accept 认证 | 方向 Server->Client， 如 果 Access-Request 报 文中 所 有 Attribute 值 都 


2 接受 包 可 以 接受 ( 即 认证 通过 )， 则 传输 该 类 型 报 文 
e Access-Reject 认证 | 方向 Server->Client， 如 果 Access-Request 报 文中 存在 任何 Attribute 
拒绝 包 值 无 法 被 接受 ( 即 认证 失败 )， 则 传输 该 类 型 报 文 
RE 方向 Client->Server，Client 将 用 户 信息 传输 到 Server, 请 求 Server 
4 计 费 请 求 包 开始 计 费 ， 由 该 报 文中 的 Acct-Status-Type 属性 区 分 计 费 开始 请 求 和 
计 费 结束 请 求 。 该 报 文 包含 的 属性 和 Access-Request 报 文大 致 相同 
方向 Server->Client, Server 通 知 Client 侧 已 经 收 到 Accounting-Request 





Accounting-Response 


5 计 费 响应 包 报 文 并 且 已 经 正确 记录 计 费 信息 。 该 报 文 包含 端口 上 输入 /输出 字 节 
_ 数 、 输 入 /输出 包 数 、 会 话 时 长 等 信息 





(2) Identifier。 包 标识 ; 1 字 节 ， 取 值 范 围 为 0~255; 用 于 匹配 请 求 包 和 响应 包 ， 同 
一 组 请 求 包 和 响应 包 的 Identifier 应 相同 。 如 果 在 一 个 很 短 的 时 间 片 段 里 ， 一 个 请 求 有 相同 
的 客户 源 卫 地 址 、 源 UDP 端口 号 和 标识 符 ，RADIUS 服务 器 会 认为 这 是 一 个 重复 的 请 求 
而 不 响应 处 理 。1 字 节 意味 着 客户 端 在 收 到 服务 器 的 响应 之 前 最 多 发 送 255(256-1) 个 请 求 。 
Identifier 段 里 的 值 是 序列 增长 的 。 

(3) Length。 包 长 度 ; 2 字 节 ; 标识 了 分 组 的 长 度 ， 整 个 包 中 所 有 域 的 长 度 。 长 度 域 范 
围 之 外 的 字 节 被 认为 是 附加 的 ， 并 在 接受 的 时 候 超 长 部 分 将 被 忽略 。 如 果 包 长 比 长 度 域 给 











出 的 短 ， 也 必须 丢弃 ， 最 小 长 度 为 20， 最 大 长 度 为 4096。 

(4) Authenticator。 验 证 字 域 ，16 字 节 明文 随机 数 ， 最 重要 的 字 节 组 最 先 被 传输 。 该 
值 用 来 认证 来 自 RADIUS 服务 器 的 回复 ， 也 用 于 口令 隐藏 算法 (加 密 )。 该 验证 字 分 为 以 下 
两 种 。 

















Q@ ”请求 验证 字 

用 在 请 求 报 文中 ， 采 用 唯一 的 16 字 节 随机 码 。 

@， 响应 验证 字 Response Authenticator。 

用 在 响应 报 文中 ,用 于 鉴别 响应 报 文 的 合法 性 。 响 应 验证 字 =MD5(Code+ID+length+ 请 


求 验 证 字 +Attributes+Key)。 

(5) _ Attribute。 属性 域 ;: 用 来 在 请 求 和 响应 报 文中 携带 详细 的 认证 、 授 权 、 信 息 
细节 ， 来 实现 认证 、 授 权 、 计 费 等 功能 
属性 在 数据 报 中 的 格式 如 图 9-28 所 示 。 


0-1-2-3-4-5-6-7-0-1-2-3-4-5-6-7-0-1-2-3-4-5-6-7-0-1-2-3-4-5-6-7 





和 配置 
采用 (Type、Length、Value) 三 元 组 的 形式 提供 ， 











和 Type Value 


图 9-28 属性 在 数据 报 中 的 格式 


(6) Type。Attribute Number( 属 性 号 )， 用 来 说 明 数 据 包 中 表示 的 属性 类 型 。 
1~255。 服 务 器 和 客户 端 都 可 以 忽略 不 可 识别 类 型 的 属性 。 值 为 26， 标 识 厂 商 私有 属性 。 
(7) Length( 属 性 长 度 )。 说 明 整 个 属性 域 的 长 度 。 长 度 域 最 小 值 为 3( 表 示 属 性 域 至 少 占 
个 字 节 )。 如 果 AAA 服务 器 收 到 的 接 入 请 求 中 属性 长 度 无 效 ， 则 发 送 接 入 拒绝 包 。 如 果 
NAS 收 到 的 接 入 允许 、 接 入 拒绝 和 接 入 盘问 中 属性 的 长 度 也 无 效 , 则 必须 以 接 入 拒绝 对 待 ， 
或 者 被 简单 地 直接 丢弃 。 



































(8) Value( 值 )。 表 示 属 于 自己 的 特性 和 特征 。 即 使 该 域 为 null， 这 个 域 也 必须 出 现在 
属性 域 中 。 有 6 种 属性 
日 期 (DATE); 二 进 制 字符 串 (BINARY)。 
RFC 中 定义 的 标准 Attribute 域 大 致 包括 的 内 容 如 表 9-15 所 示 。 
表 9-15 Attribute 域 主要 取 值 的 说 明 
Type 属性 类 型 属性 类 型 
1 User-Name Framed-IPX-Network 
2 User-Password State 
3 CHAP-Password Class 
4 NAS-IP-Address Vendor-Specific 
5 NAS-Port Session-Timeout 
6 Service-Type Idle-Timeout 
S Framed-Protocol Termination-Action 
8 Framed-IP-Address Called-Station-Id 
9 Framed-IP-Netmask Calling-Station-Id 
10 Framed-Routing NAS-Identifier 
11 Filter-ID Proxy-State 
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续 表 
Type 属性 类 型 属性 类 型 
12 Framed-MTU login-1AT-Service 
13 Framed-Compression login-I[AT-Node 
14 login-IP-Host login-IAT-Group 
15 login-Service Framed-AppleTalk-link 
16 login-TCP-Port Framed-AppleTalk-Network 
17 (unassigned) Framed-AppleTalk-Zone 
18 Reply Message (reserved for accounting) 
19 Callback-Number CHAP-Challenge 
20 Callback-ID NAS-Port-Type 
4 | Unassigned Port-limit 
22 Framed-Route login-1AT-Port 
RADIUS 协议 具有 良好 的 可 扩展 性 , 协议 中 定义 的 26 号 属性 (Vender-Specific) 被 用 来 扩 











展 以 支持 供应 商 自己 定义 的 扩展 属性 ， 主 要 指 不 适 于 常规 使 用 的 属性 扩展 。 但 不 允许 对 
RADIUS 协议 中 的 操作 有 影响 。 当 服务 器 不 具备 去 解释 由 客户 端 发 送 过 来 的 供应 商 特性 信 
息 时 ， 则 服务 器 必须 忽略 它 (过 程 可 以 被 记录 下 来 )。 在 没有 收 到 预期 的 供应 商 特性 信息 的 
情况 下 ， 客 户 端 也 应 该 尝试 在 没有 它 的 情况 下 运作 (即使 是 在 降级 模式 中 )。 

以 下 是 具体 厂商 属性 格式 的 总 结 。 域 的 传输 是 从 左 向 右 。 报 文 结构 如 图 9-29 所 示 。 





Type Length Vendor-ID 


Type Length 
(Specified) | (Specified) 


Specified attribute value. 


9-29 ” 自 定义 属性 格式 





10) RADIUS 细节 描述 

如 图 9-30 所 示 是 针对 RADIUS 远程 认证 时 ， 认 证 、 授 权 和 计 费 交互 的 详细 过 程 。 

11) RADIUS 代理 

对 RADIUS 代理 服务 器 来 说 ,一 个 RADIUS 服务 器 在 收 到 一 个 来 自 RADIUS 客户 端 (如 
NAS 服务 器 ) 的 认证 请 求 (或 者 计 费 请 求 ) 后 ， 向 一 个 远程 的 RADIUS 服务 器 提交 该 请 求 , 收 
到 来 自 远程 服务 器 的 回复 后 ， 将 这 个 回复 传输 给 客户 ， 这 个 回复 可 能 带 有 反映 本 地 管理 策 
略 的 变化 。 使 用 RADIUS 代理 服务 器 通常 是 为 了 漫游 。 漫 游 功能 使 两 个 或 更 多 的 管理 实体 
人 允许 每 一 个 用 户 为 某 项 服务 而 拨 入 任意 一 个 实体 网 络 中 。 

一 个 RADIUS 服务 器 可 以 同时 作为 转送 服务 器 和 远程 服务 器 运行 。 在 某 些 域 中 作为 一 
个 转发 服务 器 ， 在 其 他 域 中 作为 一 个 远程 服务 器 。 一 个 转发 服务 器 可 以 作为 任何 数量 远程 
服务 器 的 转发 者 。 一 个 远程 服务 器 可 以 有 任意 数量 的 转发 服务 器 向 它 转发 ， 也 能 向 任意 数 
量 域 提供 认证 。 一 个 转发 服务 器 可 以 向 另 一 个 转发 服务 器 转发 ， 从 而 生成 一 个 代理 链 ， 但 




















由 ETITEZE 字 到 
应 当 注意 避免 循环 引用 。 


用 户 


LR (1) 连接 请 求 lp 


(2) ACCcESS-REQUEST 《认证 参数 ， 
ET 
(3) (OPTONALUACCESS-CHALLENCED) 
(2) 如 果 收 到 了 ACCESSs-<HALLENCE，NAS 就 | AcCESS-ACCEPT/ACCESS-REJECT 如 果 发 送 了 
向 客户 端 询 问 另 一 个 响应 ACCESS-ACCEPT， 也 就 包含 了 客户 的 授权 信息 


(3) 《OPTIONAL， 只 对 ACCESS-CHALLENCE | (4) (OPTIONAL, ACCESS-CHALLENCE) 
适用 ) 对 认证 信息 的 交换 ACCESS-REQUEST 〔 认 证 参数 ，NAs 信 息 ， 


i ， 信息 ,被 
请 求 的 服务 器 类 型 ) 


NAS 
合 ] 








| 











(5) (OPTIONAL, ACCESS-CHALLENCE) 
ACCESS-ACCEPT/ACCESS-REJECT 《如果 发 送 了 


(6) MSSM Hh AcCCESS-ACCEPT， 即 包含 了 客户 端的 授权 信息 ) 


(1) ACCOUNTING-REQUEST(START) 计 费 开 始 请 求 


2) ACCOUNTING-RESPONSE(START) 计 费 开始 响应 
(3) 用 户 请 求 断 开 连接 
(4) ACCOUNTING-RESPONSE(STOP) 计 费 停止 请 求 
(5) ACCOUNTING-RESPONSE(STOP) 计 费 停 止 响应 
(6) 通知 用 户 断 开 连 接 


图 9-30 RADIUS 认证 、 授 权 和 计 费 交互 的 详细 过 程 

下 面 的 过 程 解释 了 一 个 代理 服务 器 在 一 个 NAS 服务 器 、 转 发 服务 器 和 远程 服务 器 之 间 
的 通信 。 

(1) NAS 向 一 个 转发 服务 器 发 出 接 入 请 求 。 

(2) 转发 服务 器 把 这 个 请 求 转发 给 一 个 远程 服务 器 。 

(3) 远程 服务 器 给 转发 服务 器 送 回 接 入 允许 、 接 入 拒绝 或 接 入 盘问 。 此 时 ， 服 务 器 送 
回 的 是 接 入 人 允许。 

(4) 转发 服务 器 将 接 入 允许 传输 给 NAS 。 

转发 服务 器 必须 把 已 经 存在 于 数据 包 中 的 任何 代理 状态 属性 当 作 不 可 见 的 数据 。 它 的 
操作 禁止 依靠 被 前 面 服务 器 添加 到 代理 状态 属性 中 的 内 容 ， 如 果 收 到 来 自 客户 端的 请 求 中 
有 任何 代理 状态 属性 ， 在 给 客户 端的 回复 中 ， 转 发 服务 器 必须 在 给 客户 端的 回复 中 包括 这 
些 代 理 状 态 属 性 。 当 转发 服务 器 转发 这 个 请 求 时 ， 它 可 以 把 代理 状态 属性 包含 在 其 中 ， 也 
可 以 在 已 转发 的 请 求 中 忽略 代理 状态 属性 。 如 果 转 发 服务 器 在 转发 的 接 入 请 求 中 忽略 了 代 
理 状态 属性 ， 它 必须 在 响应 返回 给 用 户 之 前 把 这 些 代理 状态 属性 添加 到 该 响应 中 。 

4. 配置 命令 


H3C 系列 和 Cisco 系列 交换 机 上 配置 AAA(RADIUS) 的 相关 命令 如 表 9-16 所 示 。 






计 费 
端口 
1813 
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表 9-16 AAA(RADIUS) 配 置 命令 





























功能 H3C 系列 设备 Cisco 系列 设备 
配置 视图 基本 命令 配置 模式 基本 命令 
创建 RADIUS 系统 视图 | [H3Cl]radius scheme 全 局 配 Cisco(config)#aaa 
方案 swl-telnet 置 模式 new-model 
设置 主 认 证 /授权 | 具体 视图 | [H3C-radius-swl-telnet] Cisco(config)#aaa 
服务 器 primary authentication authentication enable 
192.168.10.3 1812 default Group radius enable 
Cisco(config)#aaa 
authentication enable 
default Group radius enable 
设置 主 计 费 服务 器 | 具体 视图 | [H3C-radius-swl-telnet] 
primary accounting 
192.168.10.3 1813 
设置 验证 /授权 的 | 具体 视图 | [H3C-radius-swl-telnet] Cisco(config)#radius-server 
共享 密 钥 key authentication 123 key 123 
设置 计 费 共享 具体 视图 | [H3C-radius-swl-telnet] 
密 钥 key accounting 123 
设置 RADIUS 服 | 具体 视图 | [H3C-radius-swl-telnet] 
务 器 的 类 型 server-type _ standard 
设置 账户 格式 具体 视图 | [H3C-radius-sw1-telnet] 
user-name-format 
without-domain 
设置 nas 的 人 地 | 具体 视图 | [swl-radius-swl-telnet 
上 nas-ip 192.168.10.254 
创建 ISP 域 系统 视图 
f 启 域 功能 具体 视图 
enable _telnet 
激活 域 具体 视图 | [H3C-isp-telnetjstate 
active 
稳 ISP 域 与 RADIUS | 具体 视图 | [H3C-isp-telnet] 
方案 进行 认证 关联 authentication default 
radius-scheme swl-telnet 
竹 ISP 域 与 RADIUS | 具体 视图 | [H3C-isp-telnet] 
方案 进行 授权 关联 authorization default 
radius-scheme swl-telnet 
竹 ISP 域 与 RADIUS | 有 具体 视图 | [H3C-isp-telnetlaccounting 
方案 进行 计 费 关联 default radius-scheme 
swl-telnet 


9.4.5 任务 实施 


1. 实施 规划 
ID) “ 实 训 拓扑 结构 





根据 任务 的 需求 与 分 析 ， 实 训 的 拓扑 结构 及 网 络 参数 如 图 9-31 所 示 ， 以 PC1 和 Server 
分 别 模拟 公司 的 管理 机 和 RADIUS Server。 








I 第 9 莫 企业 风 远 凑 钴 喜人 


Swl 


SD... 


1: 


92.168.10.254124 
a ns RADIUS Server 
PC1 : 192.168.10.2/24 Server :192.168.10.3/24 


9-31 实 训 的 拓扑 结构 及 网 络 参数 


2) 实 训 设备 
根据 任务 的 需求 和 实 训 拓扑 ， 每 实 训 小 组 的 实 训 设备 配置 清单 如 表 9-17 所 示 。 


表 9-17 实 训 设备 配置 清单 


设备 类 型 设备 型 号 量 
交换 机 S3610-28TP 


PC Windows 2003/Windows 7 
Server Windows 2003/Windows 7 


RADIUS 服务 软件 WIN RADIUS 
双 绞 线 RJ-45 


3) ”IP 地 址 规划 
根据 需求 分 析 本 任务 的 卫 地 址 规划 ， 如 表 9-18 所 示 。 


表 9-18 ”IP 地 址 规划 

















192.168.10.2/24 
192.168.10.3/24 
192.168.10.254/24 


192.168.10.254 
192.168.10.254 






Switch 1 
2. 实施 步骤 
任务 的 实施 步 又 如 下 。 








(1) 根据 实 训 拓扑 图 进行 交换 机 、 计 算 机 的 线 缆 连 接 ， 配 置 PC1、PC2 的 瑟 地 址 。 

(2) 使 用 计算 机 Windows 操作 系统 的 “超级 终端 ”组 件 程序 通过 串口 连接 到 交换 机 的 
配置 界面 ， 其 中 超级 终端 串口 的 属性 设置 还 原 为 默认 值 (每 秒 位 数 9600、 数 据 位 8、 奇 偶 校 
验 无 、 数 据 流 控制 无 )。 

(3) 超级 终端 登录 路 由 器 ， 进 行 任务 的 相关 配置 。 

(4)_Swl 主要 配置 清单 如 下 。 














一 、NAS 的 配置 

NAS: 网 络 接 入 服务 。 此 处 要 配置 的 是 telnet，telnet 也 是 一 种 NAS。 日 常 应 用 经 常用 到 的 
NAS 有 : VPN、802.1x、telnet、SSH.… 

1. sw1 的 初始 化 配置 


<H3C>system-view 
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[H3C]sysname swl 

2. 配置 管理 地 址 

[swljinterface Vlan-interface 1 

[swl-Vlan-interfacellip address 192.168.10.254 255.255.255.0 

3. 开启 telnet 服务 

[swlltelnet server enable 

4. 配置 vty 视图 

[swl-Vlan-interfacel lquit 

[swlluser-interface vty 04 

5. 设置 验证 模式 

telnet 的 验证 模式 有 三 种 : none( 无 须 用 户 名 和 密码 )、password( 密 码 )、scheme( 账 户 + 密 码 ) 此 
处 ， 我 们 采用 scheme 验证 模式 

[swl-ui-vty0-4]authentication-mode scheme 

二 、AAA(radius) 配 置 

1. 配置 radius 方案 

(1) 创 建 radius 方案: 

[swl]radius scheme swl-telnet 

(2) 设 置 主 认证 (授权 ) 服 务 器 : 

[swl-radius-swl-telnetjprimary authentication 192.168.10.3 1812 

(3) 设 置 主 计 费 服务 器 : 

[swl-radius-swl-telnet]primary accounting 192.168.10.3 1813 

(4) 设 置 验证 和 授权 的 共享 密 钥 : 

[Swl-radius-swl-telnetjkey authentication 123 

(5) 设 置 计 费 的 共享 密 钥 : 

[swl-radius-swl-telnet]key accounting 123 

(0) 设 置 radius 服务 器 的 类 型 : 

[swl-radius-swl-telnet]server-type standard 

批注 : 在 实际 应 用 中 ，NAS 和 radius 一 般 是 由 不 同 的 厂家 开发 生产 的 ， 因 此 ， 就 涉及 兼容 性 
问题 , 但 是 所 有 厂商 都 支持 标准 类 型 的 radius。 因此 , 建议 将 radius 服务 器 的 类 型 都 设 为 标准 。 
(7) 设 置 账户 格式 : 

[swl-radius-swl-telnet]juser-name-format without-domain 

(8) 设 置 NAS 的 也 地址 : 

[swl-radius-swl-telnetjnas-ip 192.168.10.254 

2. 配置 ISP 域 

ISP 域 : 本 质 上 是 用 户 组 , NAS 的 ISP 域 必须 和 radius 服务 器 的 用 户 组 保持 一 致 , 并 且 在 NAS 
配置 的 radius 方案 必须 和 具体 的 ISP 域 进行 关联 

(]) 创 建 ISP 域 : 

[swlljdomain telnet 

(2 开启 域 的 功能 : 

[swl]domain default enable telnet 

(G3) 激活 域 : 

[swl-isp-telnet]state active 

3. 将 Radius 方案 与 isp 域 进行 关联 

[swl-isp-telnet]Jauthentication default radius-scheme swl-telnet  /* 认 证 关联 
[swl-isp-telnet]Jauthorization default radius-scheme swl-telnet  /* 授 权 关 联 
[swl-isp-telnetjaccounting default radius-scheme swl-telnet 族 计 费 关联 


(5) RADIUS Server 的 配置 。 








TTT EXE 2333 


@ 启用 RADIUS 服务 。 此 处 我 们 采用 的 是 第 三 方 开发 的 RADIUS 服务 器 软件 (当然 ， 
Windows NT 系列 操作 系统 也 集成 了 Radius 服务 器 组 件 )WinRadius。 解 压 程序 压缩 包 ， 打 
开 文 件 夹 ， 可 以 看 到 里 面 有 一 个 文件 为 WinRadius.exe， 双 击 即 可 启用 WinRadius 软件 。 启 
用 后 的 界面 如 图 9-32 所 示 。 








joDsg|lx+—-5 $s|sl? | 
D 四 间 诺 晶 

1 2017 年 7 月 299208130 分 23 秒 LOAD D8 : 未 沉 现 数 手 源 名 称 并 巨 未 指定 款 认 码 动 得 地 
E - 

3 

















2017 年 ?月 29 日 20d30 分 23 秒 请 使 用 "设置 / 贡 迫 库 … 因 从 的 RADIUS 芝 所 让 设置 ODBC 。 
2017 年 7 月 29 昌 20930 分 23 秒 。 加 要 隧 户 雪夫 耽 。 








9-32 WinRadius 服务 启用 界面 


@ 对 WinRadius 服务 进行 初始 化 。WinRadius 服务 启用 后 ， 需 要 进行 初始 化 配置 ， 
选择 “设置 ”|“ 数 据 库 ” 命 令 ， 如 图 9-33 所 示 。 
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图 9-33 WinRadius 初始 化 配置 


在 随后 弹出 的 “ODBC 设置 ”对 话 框 中 单 击 “ 自 动 配置 ODBC” 按 钮 ， 然 后 单 击 “ 确 
定 ” 按 钮 ， 如 图 9-34 所 示 。 此 时 系统 会 提示 重启 WinRadius 服务 ， 按 照 要 求 重新 启动 服务 ， 








® 





(CG@》 计算 机 网 络 安全 与 管理 项 目 教程 





即 完成 了 对 WinRadius 服务 的 初始 化 配置 。 
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0DBC 名 : inRadius 


usernamejpassword, 
oodme ye 
=yourPassword' 
用 户 账号 表 名 ， [users 
计 费 记录 表 各 [utos 


VolPi 录 表 名 ， ftbvolP 
每 隔 0 分 钟 刷新 一 次 用 户 信息 
该 数据 库 支 持 [dynaset 了 


TD ww | 
9-34 “ODBC 设置 ”对 话 框 


@ 添加 NAS 设备 。 完 成 了 WinRadius 服务 的 初始 化 配置 后 ， 需 要 将 NAS 设备 (此 处 
为 开启 了 Telnet 功能 的 交换 机 ) 添 加 进 Radius 服务 器 。 选 择 “ 设 置 ”|“ 多 重 密 钥 ”命令 ， 
































如 图 9-35 所 示 。 
下 wokadius 
损 作 日 志 豆 看 。 帮助 
DB 日。 丈 - $18|l? 
rnc ] 
1 2017 年 7 月 se oOAD De: 未 发 现 数据 源 名 称 并 且 未 指定 默认 驱动 程序 
2 2017 年 7 月 计划 方法 ~ .为 宅 的 RADIUS 数据 库 设 置 ODBC 。 
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2017 年 7 月 日志 和 
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图 9-35 选择 “多 重 密 钥 ”命令 

随后 会 打开 “多 重 密 钥 ”对 话 框 ， 在 此 对 话 框 的 “对 于 IP(NAS)” 选 项 中 ,设置 NAS 
的 他 地址 (此 处 为 交换 机 的 Telnet 管理 了 P 地 址 ， 即 192.168.10.254)， 在 “采用 密 钥 ”文本 
框 中 输入 NAS 设备 上 配置 的 共享 密 钥 (此 处 为 123)， 如 图 9-36 所 示 。 

完成 “多 重 密 钥 ” 的 参数 设置 后 , 单 击 “ 添 加 ”按钮 , 即 可 将 NAS 设备 添加 进 WinRadius 
服务 器 。 如 果 有 多 台 NAS 设备 ， 按 照 以 上 步 又， 重复 添加 即 可 。 完 成 NAS 设备 添加 后 ， 
将 看 到 在 “多 重 密 钥 ”对 话 框 的 下 面 生成 一 条 NAS 设备 的 记录 ， 如 图 9-37 所 示 。 看 到 此 
记录 ， 即 表明 成 功 添加 了 NAS 设备 。 
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图 9-36 “多 重 密 钥 ”对 话 框 


图 9-37 完成 NAS 设备 添加 
@ ”创建 账户 。 将 NAS 设备 成 功 添加 进 WinRadius 服务 器 后 ， 还 需要 为 NAS 设备 添 


加 账户 (此 处 为 交换 机 的 Telnet 账户 )。 选 择 “ 操 作 ”|“ 添 加 账号 ”命令 ， 如 图 9-38 所 示 。 
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P16 LOAD D8 : 未 发 现 数据 源 名 称 并 县 未 指定 默认 驱动 程序 
扮 16 请 使 用 "设置 /数据 库 为 您 的 RADIUS 数据 库 设置 ODBC 。 
分 16 秒 加 载 账 户 数据 失败 。 


打印 结果 
打印 设置 (R).. 





退出 0 


图 9-38 选择 “添加 账号 ”命令 


随后 将 打开 “添加 账号 ” 


对 话 框 ， 在 此 对 话 框 中 完成 对 账户 及 密码 的 添加 。“ 用 户 名 ” 
选项 部 分 ， 尽 量 


填写 为 NAS 设备 上 配置 的 ISP 域 的 名 字 ;“ 地 址 ”选项 部 分 ， 是 设置 账户 
的 物理 位 置 ， 可 以 不 用 设置 ;“ 预 付 金额 ”选项 部 分 是 为 账户 充值 ;“ 到 期 日 ”选项 部 分 是 
设置 账户 的 有 效 时 间 ; 设置 完成 后 单 击 “ 确 定 ” 按 钮 即 完成 了 账户 的 添加 ， 如 图 9-39 所 示 。 
如 果 要 设置 多 个 账户 ， 按 照 以 上 操作 步骤 重复 添加 即 可 。 


管理 机 通过 telnet 功能 登录 交换 机 ， 如 图 9-40 所 示 。 
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图 9-39 “添加 账号 ”对 话 框 图 9-40 ”管理 机 通过 telnet 登录 交换 机 
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9.4.6 ”任务 验收 


1. 设备 验收 
根据 实 训 拓扑 图 检查 验收 交换 机 、 计 算 机 的 线 缆 连 接 ， 检 查 PC1、Server 的 他 地 址 。 
2. 配置 验收 


查看 Radius 方案 : 
[swlldisplay radius scheme 此 查看 radius 方案 





SchemeName = swl-telnet 


Index=0 Type = standard 

Primary AuthIP = 192.168.10.3 Port=1812 State = active 
Primary AcctIP =192.168.10.3 Port=1813 State= active 
Second AuthIP =0.0.0.0 Port=1812 State= block 
Second AcctIP =0.0.0.0 Port=1813 State= block 


Auth Server Encryption Key = 123 
Acct Server Encryption Key = 123 
Accounting-On packet disable, send times = 5 , interval = 3s 


Interval for timeout(second) =3 
Retransmission times for timeout =3 
Interval for realtime accounting(minute) =12 
Retransmission times of realtime-accounting packet =5 
Retransmission times of stop-accounting packet =500 
Quiet-interval(min) =5 
Username format = without-domain 
Data flow unit = Byte 
Packet unit = one 
nas-ip address = 192.168.10.254 


3. 功能 验收 
在 PC1( 管 理 机 ) 上 运行 cmd 命令 ， 打 开 命 令 提 示 符 ， 在 命令 提示 符 里 输入 telnet 


192.168.10.254， 即 打开 远程 登录 交换 机 的 连接 ， 如 图 9-41 所 示 。 


在 随后 弹出 的 对 话 框 中 ， 输 入 Telnet 的 账户 信息 及 密码 ， 按 Enter 键 ， 即 可 远程 登录 


交换 机 ， 如 图 9-42 所 示 。 在 此 界面 中 ， 即 可 完成 对 交换 机 的 相关 配置 。( 提 示 : H3C 的 网 
络 设备 ， 将 账户 等 级 划分 为 四 级 : 0 级 : 访问 级 ; 1 级 : 监控 级 ; 2 级 : 系统 级 ; 3 级 : 管 
理 级， 在 默认 情况 下 ， 创 建 的 账户 是 0 级 : 访问 级 ， 访 问 级 的 用 户 只 能 执行 最 基本 的 命令 
和 功能 。 如 果 配 置 Telnet 时 采用 的 是 本 地 验证 模式 ， 此 时 可 以 通过 设置 账户 等 级 来 设置 ; 
而 如 果 采 用 WinRadius 来 进行 远程 验证 ， 此 时 WinRadius 无 法 兼容 H3C 的 账户 等 级 ， 也 无 
法 设置 账户 等 级 ， 如 果 和 希望 登录 的 账户 拥有 更 高 等 级 ， 可 以 通过 super 口令 方式 设置 。 
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9-41 远程 Telnet 交换 机 


= Copyright 2884- ang co-。 Ltd. All right 
= Without the ouner’s prior 
|=- no doconpiling or reveree-engineering ehall be allouea 


Login authentication 


Usernane :zhangsan 
lpassword: 

Ksul> 

su 











9-42 ”远程 登录 交换 机 的 效果 


用 户 成 功 登 录 后 ，WinRadius 服务 器 也 将 出 现成 功 登 录 的 日 志 信息 ， 如 图 9-43 所 示 。 
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2016 生 4 月 26 卓 88945 分 34 炒 
2016 年 4 月 26 日 9 时 全 分 34 秒 
年 4 月 26 日 8845 分 4 种 
2016 年 4 月 26 目 38j45 分 34 各 
2016 年 4 月 26 日 8 时 45 分 34 种 

年 4 月 26 日 9 时 45 分 34 秒 
6 年 4 月 26 日 3 时 5 分 24 种 
2016 年 4 月 26 日 8 时 45 分 









2016 年 4 月 26 日 9 时 45 分 
2016 年 4 月 26 日 9 时 全 分 


2016 年 4 月 26 日 9 时 4 分 
2016 年 4 月 26 日 9 时 4 分 
2016 年 4 月 26 日 9 时 45 分 
2016 年 4 月 26 日 9 时 45 分 
2016 年 4 月 26 日 9 时 5 分 
2016 年 4 月 26 日 9 时 45 分 








图 9-43 ”账户 成 功 登录 的 日 志 信 和 
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9.4.7 ”任务 总 结 


针对 某 公司 办 公 区 网 络 的 改造 任务 的 内 容 和 目标 ， 根 据 需 求 分 析 进 行 了 实 训 的 规划 和 
实施 。 通 过 本 任务 进行 了 交换 机 或 路 由 器 的 AAA( 认 证 、 授 权 、 计 费 ) 配 置 ， 实 现 了 交换 机 
远程 Telent 管理 的 远程 验证 功能 ， 将 账户 信息 统一 、 集 中 存储 在 远 端 服务 器 ， 方 便 了 网 络 
管理 ， 也 提升 了 网 络 安全 。 
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